Аналітик Certik: експлойт KelpDAO розкриває масштабний зсув у кросчейн кіберзлочинності

Ключові висновки:

• Рада безпеки Arbitrum та SEAL 911 заморозили 30 766 ETH 18 квітня, щоб зупинити пограбування Kelp DAO.
• Аналітик Certik Веньчжао Дун попереджає, що крадіжки через кросчейн міст тепер створюють системні безнадійні борги для таких платформ, як Aave.
• Kelp DAO прагне відновити прив'язку rsETH та повернути активи на суму близько $220 мільйонів, які зникли.

Безпека vs суверенітет

Швидке втручання Ради безпеки Arbitrum (ASC) із заморожуванням 30 766 ETH знову розпалило одну з найфундаментальніших дискусій у блокчейні: протистояння між незмінною децентралізацією та прагматичним управлінням.

Хоча повернення активів на $71 мільйон у ETH є очевидною перемогою для постраждалих, метод розколов спільноту на два окремі табори. З одного боку, прихильники чистоти принципів стверджують, що здатність ASC в односторонньому порядку заморозити активи є «слизькою доріжкою» до централізованих фінансових систем, які криптовалюта й мала замінити. Вони вважають, що якщо рада може цензурувати хакера сьогодні, то завтра її можуть примусити цензурувати політичного дисидента або законний бізнес. Для цієї групи втручання «людини в процес» є системною вразливістю, що підриває основну обіцянку відсутності довіри до третіх сторін.

З іншого боку, прагматики розглядають абсолютну децентралізацію як бажаний кінцевий стан, а не вимогу з першого дня. Вони стверджують, що для того, щоб децентралізовані фінанси (DeFi) досягли масового впровадження, у них мають бути «автоматичні вимикачі» для пом'якшення катастрофічних втрат. З цієї точки зору, ASC є необхідним захисним механізмом — «цифровою пожежною командою», — що забезпечує відповідальність, необхідну для захисту користувачів від складних акторів, що діють за підтримки держави, як-от Lazarus Group.

Як повідомляли Bitcoin.com News та інші медіа, ASC діяла на основі даних від правоохоронних органів щодо особи зловмисника. Рада заявила, що зважила свою відданість безпеці та цілісності спільноти Arbitrum, забезпечивши при цьому відсутність впливу на користувачів або застосунки Arbitrum.

Хоча заморожування забезпечує тимчасове полегшення, один з експертів попередив, що це пограбування являє собою нову, більш небезпечну фазу злочинності у сфері DeFi, де вразливості кросчейн мосту систематично використовуються для зараження ринків кредитування.

Аналізуючи стратегію зловмисника, Веньчжао Дун, блокчейн-аналітик Certik, зазначив, що Lazarus Group, яка діє за підтримки Північної Кореї, продемонструвала витончене розуміння ринкової ліквідності. Дун відзначив, що на відміну від нещодавнього інциденту з Hyperbridge — де зловмисники відчеканили 1 мільярд Polkadot, але зуміли конвертувати лише близько $240 000 до того, як ціна впала, — зловмисники Kelp DAO обрали більш ефективний шлях «виведення коштів».

«Експлойт Kelp DAO демонструє чітку закономірність ризиків у сучасному DeFi, — сказав Дун. — Вразливість кросчейн мосту не залишається ізольованою; вона перетворюється на проблему для ринків кредитування. Використовуючи фальшиво відчеканений rsETH як заставу на Aave для запозичення WETH, зловмисник перетворив крадіжку через кросчейн міст на безнадійний борг Aave».

Дун зазначив, що зловмисники навмисно уникали спотових ринків, де масові ордери на продаж спричинили б прослизання ціни та раннє виявлення. Натомість, використовуючи Aave як посередника, вони перекладали ризик на протокол кредитування.

«Безпека DeFi є взаємопов'язаною, — додав Дун. — Протоколи не можуть зосереджуватися виключно на власних контрактах; вони повинні враховувати ризики, які створює кожна залежність у їхній системі, та відповідно впроваджувати захисні заходи».

В оновленні, опублікованому через кілька годин після оголошення ASC про заморожування, Kelp DAO висловила подяку за «рішучі дії» ради. Організація відзначила «координацію та структурування інформації» з боку SEAL 911 як ключовий чинник, що дозволив зацікавленим сторонам діяти до того, як хакери змогли перемістити залишкові $71 мільйон у ETH з мережі Arbitrum.

Незважаючи на успішне заморожування, близько $220 мільйонів досі залишаються зниклими. Kelp DAO підтвердила, що її основним пріоритетом зараз є співпраця з Aave та іншими партнерами для вирішення проблеми «безнадійного боргу», створеного внаслідок експлойту. Організація також заявила, що використає всі доступні можливості для підтримки власників rsETH та відновлення прив'язки протоколу.