KelpDAO, ett decentraliserat finansprotokoll, har drabbats av en exploatering på 293 miljoner dollar – en av de största i DeFis historia. Attacken signalerar en oroande förändring: branschens största säkerhetshot är inte längre bara buggig kod, utan det sammanflätade nätet av sammankopplade system som driver dessa plattformar.
Omfattningen av slaget
De stulna medlen uppgår till nästan 300 miljoner dollar, en summa som placerar intrånget bland de största DeFi-hacken räknat i dollarvärde. Angriparna tömde flera pooler inom KelpDAOs ekosystem, men den exakta fördelningen av tillgångar som stulits har inte offentliggjorts. Protokollet har pausat verksamheten medan det utreder.
Från kodbuggar till systemrisk
Under åratal härrörde DeFi-exploateringar typiskt från enskilda sårbarheter i smarta kontrakt – en felaktig kodrad här, en saknad behörighetskontroll där. Men KelpDAO-hacket pekar på en annan typ av sårbarhet: komplexiteten som uppstår när protokoll interagerar med varandra, med orakel och med externa likviditetskällor. Attacken utnyttjade dessa beroenden snarare än ett enskilt kodfel, enligt de begränsade detaljer som finns tillgängliga.
Den förändringen har varit på väg. I takt med att DeFi-system blir mer integrerade kan en brist i en komponent sprida sig över många. KelpDAO-intrånget är ett tydligt exempel på vad som händer när den komplexiteten inte är fullständigt kartlagd eller säkrad.
Vad gick fel
Offentliga post-mortem-utredningar väntar fortfarande. Tidiga indikationer tyder på att angriparna manipulerade prisflöden eller utnyttjade mekanismer för lån över flera protokoll – tekniker som bygger på förståelse för hur olika delar av systemet beter sig under stress. KelpDAO-teamet har inte bekräftat attackvektorn, och säkerhetsgranskare som granskade koden före lanseringen kan ha missat en sådan attack eftersom det inte var ett enkelt kodfel.
Efterspelet
Användare av KelpDAO väntar. Protokollet har fryst uttag och samarbetar med brottsbekämpande myndigheter och säkerhetsföretag. Det är ännu oklart om några medel kan återvinnas. Liknande hack i det förflutna har ibland resulterat i partiella återbetalningar efter förhandlingar, men det finns inga sådana uppgifter här.
Den bredare DeFi-gemenskapen följer utvecklingen noga. Om systemisk komplexitet blir den nya normalen för exploateringar räcker inte traditionella kodgranskningar – som fokuserar på enskilda kontrakt. Branschen kan behöva införa stresstestning och simuleringsverktyg som modellerar interaktioner över flera protokoll.
KelpDAO har inte sagt när de kommer att släppa en fullständig incidentrapport. Det dokumentet kommer att vara avgörande för att förstå exakt hur attacken utspelade sig – och för att förhindra nästa.
