KelpDAO, протокол децентралізованих фінансів, зазнав експлойту на $293 млн — одного з найбільших в історії DeFi. Атака сигналізує про тривожний зсув: найбільшою загрозою безпеці в галузі більше не є просто помилковий код, а заплутана мережа взаємопов'язаних систем, які живлять ці платформи.
Масштаб удару
Вкрадені кошти становлять майже $300 млн, що ставить цей злом у ряд найбільших хакерських атак DeFi за доларовою вартістю. Зловмисники спустошили кілька пулів в екосистемі KelpDAO, хоча точний розподіл викрадених активів не розголошується. Протокол призупинив роботу на час розслідування.
Від помилок у коді до системного ризику
Протягом багатьох років експлойти DeFi зазвичай виникали через окремі вразливості смарт-контрактів — помилковий рядок коду тут, відсутня перевірка дозволів там. Але злом KelpDAO вказує на інший вид вразливості: складність, що виникає через взаємодію протоколів один з одним, з оракулами та зовнішніми джерелами ліквідності. Згідно з обмеженою доступною інформацією, атака використала ці залежності, а не єдину помилку в коді.
Цей зсув назрівав. Оскільки системи DeFi стають більш інтегрованими, недолік в одному компоненті може поширитися на багато інших. Злом KelpDAO — яскравий приклад того, що відбувається, коли ця складність не повністю відображена або захищена.
Що пішло не так
Публічні постмортеми ще очікуються. Ранні ознаки свідчать, що зловмисники маніпулювали ціновими каналами або використовували механізми міжпротокольних кредитів — техніки, які покладаються на розуміння того, як різні частини системи поводяться під навантаженням. Команда KelpDAO не підтвердила вектор атаки, і аудитори безпеки, які перевіряли код перед запуском, могли не виявити таку атаку, оскільки це не була проста помилка в коді.
Наслідки
Користувачі KelpDAO залишаються в очікуванні. Протокол заморозив виведення коштів і співпрацює з правоохоронними органами та фірмами з кібербезпеки. Поки незрозуміло, чи вдасться повернути хоча б частину коштів. У минулому подібні зломи іноді призводили до часткового повернення після переговорів, але тут про це поки що не повідомляється.
Ширша спільнота DeFi уважно стежить. Якщо системна складність стане новою нормою для експлойтів, то традиційні аудити коду, які зосереджуються на окремих контрактах, будуть недостатніми. Галузі, можливо, доведеться впроваджувати стрес-тестування та інструменти симуляції, які моделюють взаємодії між кількома протоколами.
KelpDAO не повідомив, коли оприлюднить повний звіт про інцидент. Цей документ буде вирішальним для розуміння того, як саме відбулася атака, і для запобігання наступній.
