DeFi ประสบเดือนที่เลวร้ายที่สุดในรอบกว่าหนึ่งปีในเดือนเมษายนนี้ โดยผู้โจมตีกวาดเงินไป 635 ล้านดอลลาร์จากเหตุการณ์ 28 ครั้งที่แยกจากกัน ตามข้อมูลที่รวบรวมโดยบริษัทรักษาความปลอดภัยบล็อกเชน ยอดรวมดังกล่าวทำให้ความเสียหายสะสมในประวัติศาสตร์เพิ่มเป็น 16.5 พันล้านดอลลาร์ โดย 7.7 พันล้านดอลลาร์เป็นเป้าหมายที่ DeFi โดยเฉพาะ เหตุการณ์ที่สร้างความเสียหายมากที่สุดในเดือนนี้ — การโจมตีสะพาน rsETH — ทำให้ Aave มีหนี้เสีย 200 ล้านดอลลาร์ และเปิดการถกเถียงอีกครั้งว่าอุตสาหกรรมให้ความสำคัญกับความรวดเร็วมากกว่าความปลอดภัยอย่างไร
การโจมตี rsETH: การกำหนดค่าแบบ 1-of-1 ที่อยู่มานานหลายปี
การโจมตีสะพาน rsETH ของ KelpDAO ใช้ประโยชน์จากการกำหนดค่าเครือข่ายผู้ตรวจสอบแบบกระจายศูนย์ (DVN) แบบ 1-of-1 ซึ่งเป็นการตั้งค่าที่ต้องการเพียงผู้ตรวจสอบรายเดียวในการอนุมัติข้อความ ผู้โจมตีเจาะโครงสร้างพื้นฐาน RPC บังคับให้เกิดการเปลี่ยนไปใช้โหนดที่ถูกวางยาพิษผ่าน DDoS และฉีดข้อมูลเท็จเข้าไปใน DVN ตัวเดียวนั้น ข้อความปลอมดังกล่าวปล่อย rsETH ประมาณ 116,500 หน่วย ซึ่งถูกนำไปฝากเป็นหลักประกันบน Aave
รายงานเหตุการณ์ของ Aave ยืนยันว่าเชน Ethereum ยอมรับ nonce 308 จากการโจมตี ในขณะที่ต้นทางของ Unichain ไม่เคยข้ามไปเกิน 307 — ซึ่งเป็นความไม่ตรงกันที่ควรจะถูกจับได้หากมีการตรวจสอบที่ดีกว่า KelpDAO ระบุว่า DVN แบบ 1-of-1 เป็นค่าเริ่มต้นที่ LayerZero จัดส่งมาเอง LayerZero โต้แย้งว่า KelpDAO ได้ปรับลดการตั้งค่าลงมา ไม่ว่ากรณีใด LayerZero ได้สั่งห้ามการกำหนดค่า DVN แบบ 1-of-1 ทั่วทั้งโปรโตคอลแล้ว
การกล่าวโทษ ความรับผิดชอบ และความเชื่อมโยงกับลาซารัส
Chainalysis เชื่อมโยงการโจมตีเบื้องต้นกับกลุ่มลาซารัสของเกาหลีเหนือ แม้ว่าการระบุที่มายังคงดำเนินอยู่ สำหรับอุตสาหกรรม เหตุการณ์นี้ไม่เกี่ยวกับว่าใครเป็นคนทำ แต่เป็นเรื่องของวิธีการที่เกิดขึ้น “DeFi ในอดีตให้รางวัลแก่การเติบโต การบูรณาการ สภาพคล่อง และความรวดเร็วมากกว่าความเป็นผู้ใหญ่ด้านความปลอดภัย” มิตเชลล์ อมาดอร์ ซีอีโอของ Immunefi กล่าว เขาชี้ไปที่แนวปฏิบัติที่ถูกมองข้าม เช่น สุขอนามัยของ multisig การเสริมความแข็งแกร่งของห่วงโซ่อุปทาน การตรวจสอบแบบเรียลไทม์ และขั้นตอนการตอบสนองต่อเหตุฉุกเฉินที่หลายโปรโตคอลยังคงข้ามไป
เบน นาเดรสกี ซีอีโอของ Solstice Finance กล่าวอย่างตรงไปตรงมา: “ทีมที่ชนะจะถูกสร้างขึ้นบนการปฏิบัติตามข้อกำหนดและความปลอดภัยตั้งแต่วันแรก” และคาสเปอร์ พาวโลฟสกี CTO ของ Euler Finance ตั้งข้อสังเกตว่าการประเมินความเสี่ยงใน DeFi มักถูกปฏิบัติเหมือนเป็นรายการตรวจสอบครั้งเดียว แต่ “ความเสี่ยงนั้นเปลี่ยนแปลงตลอดเวลา”
TVL 11 พันล้านดอลลาร์ถูกกวาดล้างในเดือนเดียว
นอกเหนือจากเหตุการณ์ rsETH แล้ว DeFi สูญเสียมูลค่ารวมที่ถูกล็อก (TVL) เกือบ 11 พันล้านดอลลาร์ในเดือนที่แล้วเนื่องจากการโจมตีครั้งใหญ่บน Drift และสะพาน KelpDAO ตัวเลขดังกล่าวตอกย้ำแนวโน้มที่นักวิจัยด้านความปลอดภัยเตือนไว้: ในขณะที่โปรโตคอลไล่ตามการบูรณาการและสภาพคล่อง พื้นผิวการโจมตีก็ขยายตัวเร็วกว่าที่การป้องกันจะตามทัน ยอดรวมเดือนเมษายนเป็นความสูญเสียรายเดือนสูงที่สุดนับตั้งแต่ต้นปี 2024
คำถามตอนนี้คือ อุตสาหกรรมจะปฏิบัติต่อความปลอดภัยเป็นกระบวนการต่อเนื่องมากกว่ารายการตรวจสอบในวันเปิดตัวในที่สุด หรือจะรอให้หลุมขนาด 200 ล้านดอลลาร์ปรากฏขึ้นอีก
