Γιατί οι cross-chain γέφυρες είναι ο πιο αδύναμος κρίκος του DeFi μετά το hack των $293εκ. στο Kelp DAO

Οι γέφυρες κρυπτονομισμάτων επιστρέφουν στο προσκήνιο — και όχι για τους σωστούς λόγους.

Η εκμετάλλευση 293 εκατομμυρίων δολαρίων του Kelp DAO το Σάββατο έχει φέρει την ασφάλεια των γεφυρών στην κορυφή του προσκηνίου της βιομηχανίας κρυπτονομισμάτων, λέει ο Ari Redbord, παγκόσμιος επικεφαλής πολιτικής και κυβερνητικών υποθέσεων στην TRM Labs.

"Όταν το μοντέλο ασφαλείας ενός εκδότη 300 εκατομμυρίων δολαρίων ανάγεται σε ένα κλειδί υπογραφής ενός επικυρωτή, η επιφάνεια επίθεσης παύει να είναι τεχνική και γίνεται δομική," έγραψε την Κυριακή.

Η ανάλυση ακολουθεί την αποστράγγιση 116.500 rsETH από έναν επιτιθέμενο — περίπου 18% της κυκλοφορούσας προσφοράς του token — ενεργοποιώντας μια λειτουργία στο σύστημα μηνυμάτων cross-chain του LayerZero. Με απλά λόγια, ο επιτιθέμενος έστειλε ένα ψεύτικο μήνυμα που έλεγε στη γέφυρα του Kelp ότι είχαν φτάσει χρήματα από άλλο blockchain. Η γέφυρα πίστεψε το σήμα και απελευθέρωσε τα tokens.

Το Kelp DAO είναι ένα πρωτόκολλο liquid restaking χτισμένο στο Ethereum που επιτρέπει στους χρήστες να κερδίζουν τόσο τυπικές ανταμοιβές staking όσο και πρόσθετες αποδόσεις restaking μέσω του EigenLayer.

Όταν οι χρήστες καταθέτουν επιλέξιμα tokens, λαμβάνουν rsETH, ένα διαπραγματεύσιμο περιουσιακό στοιχείο που μπορεί να χρησιμοποιηθεί σε πλατφόρμες DeFi ενώ τα υποκείμενα κεφάλαια συνεχίζουν να ασφαλίζουν πολλαπλά δίκτυα. Στην πράξη, η δομή επιτρέπει στους επενδυτές να διατηρούν το κεφάλαιό τους παραγωγικό χωρίς να το κλειδώνουν, διατηρώντας τη ρευστότητα ενώ παράγουν πολυεπίπεδες αποδόσεις.

Η επίθεση προστίθεται στην απώλεια 286 εκατομμυρίων δολαρίων που υπέστη το Drift την 1η Απριλίου, φέροντας τις απώλειες DeFi του μήνα σε πάνω από 550 εκατομμύρια δολάρια.

Πώς λειτουργούν οι γέφυρες;

Μια γέφυρα cross-chain είναι λογισμικό που συνδέει διαφορετικά blockchains, όπως το Ethereum και το Arbitrum.

Όταν οι χρήστες μετακινούν tokens μεταξύ αλυσίδων, η γέφυρα κλειδώνει τα αρχικά tokens και δημιουργεί αντίστοιχα στη νέα αλυσίδα. Αυτή η διαδικασία εξαρτάται από επικυρωτές — αξιόπιστους υπολογιστές που επιβεβαιώνουν αν μια συναλλαγή blockchain είναι γνήσια.

Η γέφυρα εξαπατήθηκε να πιστέψει ότι ένα ψεύτικο μήνυμα από άλλο blockchain ήταν πραγματικό, οπότε απελευθέρωσε tokens που δεν έπρεπε ποτέ. Επειδή μόνο ένας επικυρωτής ήταν ρυθμισμένος να εγκρίνει αυτά τα μηνύματα, ένα μοναδικό σημείο αποτυχίας επέτρεψε στον επιτιθέμενο να ξεκλειδώσει εκατοντάδες εκατομμύρια δολάρια.

Η εγκατάσταση του Kelp φέρεται να βασίστηκε σε ένα 1/1 Decentralised Verifier Network, ή DVN. Αυτό σημαίνει ότι ένας μόνο επικυρωτής είχε την εξουσία να εγκρίνει μηνύματα cross-chain. Μόλις αυτός ο επικυρωτής παραβιάστηκε ή εξαπατήθηκε, ολόκληρο το σύστημα εμπιστεύτηκε ένα ψεύτικο σήμα.

Η "ακτίνα έκρηξης" επεκτάθηκε πέρα από το Kelp. Οι Aave, SparkLend, Fluid και Upshift διέκοψαν τις αγορές που συνδέονται με το rsETH, είπε ο Redbord.

Το Aave μόνο του είδε πάνω από 5,4 δισεκατομμύρια δολάρια σε αναλήψεις ether καθώς οι χρήστες κινήθηκαν για να περιορίσουν την έκθεση, πρόσθεσε.

Δύο επιπλέον προσπάθειες να αποσταγούν άλλα 100 εκατομμύρια δολάρια μπλοκαρίστηκαν αφού το πορτοφόλι πολλαπλών υπογραφών έκτακτης ανάγκης του Kelp πάγωσε συμβόλαια εντός 46 λεπτών.

"Η απάντηση είναι να επικεντρωθούμε στην άμυνα: ποικίλα σύνολα επικυρωτών σε επίπεδα μηνυμάτων, παρακολούθηση σε πραγματικό χρόνο σε ροές mint και burn, multisigs παύσης ταχείας δράσης και εγχειρίδια cross-protocol που υποθέτουν μετάδοση," έγραψε ο Redbord.

"Ο Απρίλιος ήταν ένας δύσκολος μήνας για τους κατασκευαστές DeFi."

Ο Lance Datskoluo είναι ανταποκριτής αγορών του DL News με έδρα την Ευρώπη. Έχετε μια πληροφορία; Στείλτε του email στο [email protected]