DeFi pësoi muajin më të keq në më shumë se një vit këtë prill, me shfrytëzues që morën 635 milionë dollarë në 28 incidente të veçanta, sipas të dhënave të përpiluara nga firmat e sigurisë blockchain. Shifra totale i sjell humbjet historike kumulative në 16.5 miliardë dollarë, nga të cilat 7.7 miliardë dollarë kishin në shënjestër DeFi-në në mënyrë specifike. Ngjarja më shkatërruese e muajit — sulmi në urën rsETH — la Aave me 200 milionë dollarë borxh të keq dhe rihapi një debat se si industria i jep përparësi shpejtësisë mbi sigurinë.
Sulmi rsETH: një konfigurim 1-nga-1 që zgjati me vite
\nSulmi në urën rsETH të KelpDAO shfrytëzoi një konfigurim të rrjetit të verifikuesve të decentralizuar (DVN) 1-nga-1 — një cilësim që kërkonte vetëm një verifikues të vetëm për të miratuar një mesazh. Sulmuesit kompromentuan infrastrukturën RPC, detyruan një kalim në rezervë në nyje të helmuara përmes DDoS, dhe injektuan të dhëna false në atë DVN të vetmuar. Mesazhi i falsifikuar lëshoi afërsisht 116,500 rsETH, të cilat më pas u depozituan si kolateral në Aave.
Raporti i incidentit të Aave konfirmoi se zinxhiri Ethereum pranoi nonce 308 nga sulmi, ndërsa pika fundore e Unichain nuk përparoi kurrë përtej 307 — një mospërputhje që duhej të ishte kapur nga monitorimi më i mirë. KelpDAO thotë se DVN 1-nga-1 ishte parazgjedhja që vetë LayerZero dërgoi. LayerZero kundërshton se KelpDAO e uli cilësimin në atë nivel. Pavarësisht kësaj, LayerZero që atëherë ka ndaluar konfigurimin DVN 1-nga-1 në të gjithë protokollin.
Faji, përgjegjësia dhe lidhja me Lazarus
\nChainalysis paraprakisht e lidhi sulmin me grupin koreano-verior Lazarus, megjithëse atribuimi është ende në vazhdim. Për industrinë, incidenti ka më pak të bëjë me kush e bëri dhe më shumë me si ndodhi. “DeFi historikisht ka shpërblyer rritjen, integrimet, likuiditetin dhe shpejtësinë mbi pjekurinë e sigurisë,” tha Mitchell Amador, CEO i Immunefi. Ai vuri në dukje praktika të lëna pas dore si higjiena e multisig, forcimi i zinxhirit të furnizimit, monitorimi në kohë reale dhe procedurat e reagimit emergjent që shumë protokolle ende i anashkalojnë.
Ben Nadareski, CEO i Solstice Finance, e tha troç: “Ekipet fituese do të ndërtohen mbi pajtueshmërinë dhe sigurinë që nga dita e parë.” Dhe CTO i Euler Finance, Kasper Pawlowski, vuri në dukje se vlerësimi i rrezikut në DeFi shpesh trajtohet si një listë kontrolli një herë, por “rreziku është dinamik”.
11 miliardë dollarë TVL të fshira në një muaj të vetëm
\nPërtej çështjes së rsETH, DeFi humbi gati 11 miliardë dollarë nga vlera totale e kyçur muajin e kaluar për shkak të shfrytëzimeve të profilit të lartë në Drift dhe urën e KelpDAO. Shifrat nënvizojnë një tendencë për të cilën studiuesit e sigurisë kanë paralajmëruar prej kohësh: ndërsa protokollet ndjekin integrimet dhe likuiditetin, sipërfaqja e sulmit zgjerohet më shpejt se sa mbrojtjet mund të mbajnë hapin. Totali i prillit është humbja më e lartë mujore që nga fillimi i vitit 2024.
Pyetja tani është nëse industria më në fund do ta trajtojë sigurinë si një proces të vazhdueshëm në vend të një liste kontrolli ditën e nisjes — apo do të presë për një tjetër vrimë prej 200 milionë dollarësh që të shfaqet.
