KelpDAO, një protokoll i financave të decentralizuara, është goditur nga një shfrytëzim prej 293 milionë dollarësh — një nga më të mëdhenjtë në historinë e DeFi-t. Sulmi sinjalizon një ndryshim shqetësues: kërcënimi më i madh i sigurisë për industrinë nuk janë më thjesht gabimet në kod, por rrjeti i ndërlikuar i sistemeve të ndërlidhura që fuqizojnë këto platforma.
Madhësia e goditjes
Fondet e vjedhura arrijnë në gati 300 milionë dollarë, një shumë që e vendos këtë shkelje ndër hakimet më të mëdha të DeFi-t për nga vlera monetare. Sulmuesit kanë zbrazur disa grupe likuiditeti brenda ekosistemit të KelpDAO-s, megjithëse ndarja e saktë e aseteve të marra nuk është bërë e ditur. Protokolli ka ndërprerë operacionet ndërsa heton.
Nga gabimet e kodit te rreziku sistematik
Për vite me radhë, shfrytëzimet e DeFi-t zakonisht vinin nga dobësi individuale të kontratave inteligjente — një rresht kodi me defekt këtu, një kontroll i munguar i lejeve atje. Por hakimi i KelpDAO-s tregon për një lloj tjetër dobësie: kompleksitetin që lind nga mënyra se si protokollet ndërveprojnë me njëri-tjetrin, me orakujt dhe me burimet e jashtme të likuiditetit. Sipas detajeve të kufizuara të disponueshme, sulmi shfrytëzoi këto varësi dhe jo një gabim të vetëm kodimi.
Ky ndryshim ka qenë në zhvillim e sipër. Ndërsa sistemet e DeFi-t bëhen gjithnjë e më të integruara, një defekt në një komponent mund të përhapet në shumë të tjerë. Shkelja e KelpDAO-s është një shembull i qartë se çfarë ndodh kur ky kompleksitet nuk është hartuar apo siguruar plotësisht.
Çfarë shkoi keq
Analizat publike pas ngjarjes janë ende në pritje. Indikacionet e para sugjerojnë se sulmuesit manipuluan çmimet e orakujve ose shfrytëzuan mekanizmat e huave ndër-protokollore — teknika që mbështeten në të kuptuarit se si pjesët e ndryshme të sistemit sillen nën presion. Ekipi i KelpDAO-s nuk ka konfirmuar vektorin e sulmit dhe audituesit e sigurisë që rishikuan kodin para nisjes mund të mos kenë kapur një sulm të tillë sepse nuk ishte një gabim i thjeshtë kodi.
Pasojat
Përdoruesit e KelpDAO-s janë lënë në pritje. Protokolli ka ngrirë tërheqjet dhe po bashkëpunon me agjencitë ligjzbatuese dhe firmat e sigurisë. Ende nuk dihet nëse ndonjë fond mund të rikuperohet. Hakime të ngjashme në të kaluarën ndonjëherë kanë rezultuar në kthime të pjesshme pas negociatave, por këtu nuk ka asnjë njoftim për këtë.
Komuniteti më i gjerë i DeFi-t po vëzhgon me vëmendje. Nëse kompleksiteti sistematik bëhet norma e re për shfrytëzimet, atëherë auditimet tradicionale të kodit — të cilat fokusohen te kontratat individuale — nuk do të mjaftojnë. Industria mund të ketë nevojë të adoptojë mjete të testimit nën presion dhe simulimit që modelojnë ndërveprimet nëpër disa protokolle.
KelpDAO nuk ka thënë se kur do të publikojë një raport të plotë të incidentit. Ai dokument do të jetë vendimtar për të kuptuar saktësisht se si u zhvillua sulmi — dhe për të parandaluar të ardhmen.
