DeFi a suferit cea mai gravă lună din ultimul an în această aprilie, atacatorii sustrăgând 635 milioane de dolari în 28 de incidente separate, conform datelor compilate de firmele de securitate blockchain. Totalul aduce pierderile istorice cumulative la 16,5 miliarde de dolari, dintre care 7,7 miliarde de dolari vizează exclusiv DeFi. Cel mai dăunător eveniment unic al lunii — atacul asupra podului rsETH — a lăsat Aave cu datorii neperformante de 200 milioane de dolari și a redeschis dezbaterea despre modul în care industria prioritizează viteza în detrimentul securității.
Atacul rsETH: o configurație unică care a existat ani de zile
Atacul asupra podului rsETH al KelpDAO a exploatat o configurație de rețea de validatori descentralizată (DVN) de tip 1-din-1 — o setare care necesita ca un singur validator să aprobe un mesaj. Atacatorii au compromis infrastructura RPC, au forțat o comutare către noduri otrăvite prin DDoS și au injectat date false în acel DVN unic. Mesajul falsificat a eliberat aproximativ 116.500 rsETH, care au fost apoi depuse ca colateral pe Aave.
Raportul de incident al Aave a confirmat că lanțul Ethereum a acceptat nonce-ul 308 din atac, în timp ce punctul final sursă Unichain nu a avansat niciodată dincolo de 307 — o nepotrivire care ar fi trebuit descoperită printr-o monitorizare mai bună. KelpDAO afirmă că DVN-ul 1-din-1 a fost configurația implicită livrată chiar de LayerZero. LayerZero contraargumentează că KelpDAO a redus setarea la acea configurație. Indiferent, LayerZero a interzis ulterior configurația DVN 1-din-1 la nivel de protocol.
Vină, responsabilitate și legătura cu Lazarus
Chainalysis a legat preliminar atacul de grupul nord-coreean Lazarus, deși atribuirea este încă în curs. Pentru industrie, incidentul este mai puțin despre cine a făcut-o și mai mult despre cum s-a întâmplat. „DeFi a recompensat istoric creșterea, integrările, lichiditatea și viteza în detrimentul maturității securității”, a declarat Mitchell Amador, CEO al Immunefi. El a subliniat practici neglijate precum igiena multisig, întărirea lanțului de aprovizionare, monitorizarea în timp real și procedurile de răspuns la urgențe pe care multe protocoale încă le omit.
Ben Nadareski, CEO al Solstice Finance, a spus direct: „Echipele câștigătoare vor fi construite pe conformitate și securitate încă din prima zi”. Iar CTO-ul Euler Finance, Kasper Pawlowski, a remarcat că evaluarea riscurilor în DeFi este adesea tratată ca o listă de verificare unică, dar „riscul este dinamic”.
11 miliarde de dolari în TVL șterse într-o singură lună
Dincolo de afacerea rsETH, DeFi a pierdut aproape 11 miliarde de dolari în valoare totală blocată luna trecută din cauza unor exploatări de mare profil pe Drift și podul KelpDAO. Cifrele subliniază o tendință despre care cercetătorii în securitate avertizează de mult: pe măsură ce protocoalele urmăresc integrări și lichiditate, suprafața de atac se extinde mai repede decât pot ține pasul apărările. Totalul din aprilie este cea mai mare pierdere lunară de la începutul anului 2024.
Întrebarea acum este dacă industria va trata în sfârșit securitatea ca pe un proces continuu, nu ca pe o listă de verificare de lansare — sau va aștepta să apară o altă gaură de 200 de milioane de dolari.
