Αναλυτής Certik: Το Exploit του KelpDAO Αποκαλύπτει Υψηλού Κινδύνου Μετατόπιση στο Διασυνοριακό Κυβερνοέγκλημα

Βασικά Συμπεράσματα:

• Το Συμβούλιο Ασφαλείας Arbitrum και το SEAL 911 πάγωσαν 30.766 ETH στις 18 Απριλίου για να περιορίσουν την κλοπή του Kelp DAO.
• Ο αναλυτής της Certik, Wenzhao Dong, προειδοποιεί ότι οι κλοπές γεφυρών δημιουργούν πλέον συστημικές επισφαλείς οφειλές για πλατφόρμες όπως το Aave.
• Το Kelp DAO στοχεύει να αποκαταστήσει την ισοτιμία του rsETH και να ανακτήσει τα υπόλοιπα 220 εκατομμύρια δολάρια σε αγνοούμενα ψηφιακά στοιχεία.

Ασφάλεια εναντίον Κυριαρχίας

Η ταχεία παρέμβαση του Συμβουλίου Ασφαλείας Arbitrum (ASC) για την πάγωση 30.766 ETH έχει επαναφέρει μία από τις πιο θεμελιώδεις συζητήσεις στο blockchain: η ένταση μεταξύ αμετάβλητης αποκέντρωσης και πραγματιστικής διακυβέρνησης.

Ενώ η ανάκτηση 71 εκατομμυρίων δολαρίων σε ETH αποτελεί σαφή νίκη για τα θύματα, η μέθοδος έχει διχάσει την κοινότητα σε δύο ξεχωριστές παρατάξεις. Από τη μία πλευρά, οι αγνοί υποστηρίζουν ότι η ικανότητα του ASC να παγώνει μονομερώς περιουσιακά στοιχεία αποτελεί «ολισθηρό κατήφορο» προς τα κεντρικοποιημένα χρηματοπιστωτικά συστήματα που το κρυπτονόμισμα σχεδιάστηκε να αντικαταστήσει. Υποστηρίζουν ότι αν ένα συμβούλιο μπορεί να λογοκρίνει έναν χάκερ σήμερα, θα μπορούσε να εξαναγκαστεί να λογοκρίνει έναν πολιτικό διαφωνούντα ή μια νόμιμη επιχείρηση αύριο. Για αυτήν την ομάδα, η παρέμβαση «ανθρώπου στον βρόχο» αποτελεί συστημική ευπάθεια που υπονομεύει τη βασική υπόσχεση της αξιοπιστίας χωρίς εμπιστοσύνη.

Από την άλλη πλευρά, οι πραγματιστές θεωρούν την απόλυτη αποκέντρωση ως φιλόδοξη τελική κατάσταση και όχι ως απαίτηση από την πρώτη μέρα. Υποστηρίζουν ότι για να επιτύχει η αποκεντρωμένη χρηματοδότηση (DeFi) την ευρεία υιοθέτηση, πρέπει να διαθέτει «διακόπτες κυκλώματος» για τον περιορισμό καταστροφικών ζημιών. Από αυτή την οπτική γωνία, το ASC αποτελεί αναγκαία διασφάλιση —μια «ψηφιακή πυροσβεστική υπηρεσία»— που παρέχει την υπευθυνότητα που απαιτείται για την προστασία των χρηστών από εξελιγμένους κρατικά υποστηριζόμενους παράγοντες, όπως η Lazarus Group.

Όπως αναφέρθηκε από το Bitcoin.com News και άλλα μέσα ενημέρωσης, το ASC ενήργησε βάσει πληροφοριών από τις αρχές επιβολής του νόμου σχετικά με την ταυτότητα του εκμεταλλευτή. Το συμβούλιο δήλωσε ότι σταθμίζει τη δέσμευσή του για την ασφάλεια και την ακεραιότητα της κοινότητας Arbitrum, διασφαλίζοντας παράλληλα ότι δεν επηρεάζονται οι χρήστες ή οι εφαρμογές του Arbitrum.

Ενώ η πάγωση παρέχει προσωρινή ανακούφιση, ένας ειδικός προειδοποίησε ότι η κλοπή αντιπροσωπεύει μια νέα, πιο επικίνδυνη φάση του εγκλήματος DeFi, όπου τα τρωτά σημεία γεφυρών χρησιμοποιούνται συστηματικά για τη μόλυνση των αγορών δανεισμού.

Παρέχοντας μια ανάλυση post-mortem της στρατηγικής του επιτιθέμενου, ο Wenzhao Dong, αναλυτής blockchain στη Certik, επεσήμανε ότι η Lazarus Group, που υποστηρίζεται από τη Βόρεια Κορέα, επέδειξε εξελιγμένη κατανόηση της ρευστότητας της αγοράς. Ο Dong σημείωσε ότι, σε αντίθεση με το πρόσφατο περιστατικό Hyperbridge —όπου οι επιτιθέμενοι έκοψαν 1 δισεκατομμύριο Polkadot αλλά κατάφεραν να μετατρέψουν μόνο περίπου 240.000 δολάρια πριν καταρρεύσει η τιμή— οι επιτιθέμενοι του Kelp DAO επέλεξαν μια πιο αποτελεσματική διαδρομή «ρευστοποίησης».

«Το exploit του Kelp DAO αποκαλύπτει ένα σαφές μοτίβο κινδύνου στο σύγχρονο DeFi», είπε ο Dong. «Μια ευπάθεια γέφυρας δεν παραμένει απομονωμένη· μετατρέπεται σε πρόβλημα για τις αγορές δανεισμού. Χρησιμοποιώντας ψευδώς κοπιαστό rsETH ως εξασφάλιση στο Aave για δανεισμό WETH, ο επιτιθέμενος μετέτρεψε μια κλοπή γέφυρας σε επισφαλή χρέη του Aave.»

Ο Dong σημείωσε ότι οι επιτιθέμενοι απέφυγαν σκόπιμα τις αγορές spot, όπου τεράστιες εντολές πώλησης θα προκαλούσαν ολίσθηση και πρώιμη ανίχνευση. Αντ' αυτού, χρησιμοποιώντας το Aave ως ενδιάμεσο, μετέφεραν τον κίνδυνο στο πρωτόκολλο δανεισμού.

«Η ασφάλεια DeFi είναι αλληλένδετη», πρόσθεσε ο Dong. «Τα πρωτόκολλα δεν μπορούν να εστιάζουν αποκλειστικά στα δικά τους συμβόλαια· πρέπει να λαμβάνουν υπόψη τους κινδύνους που θέτει κάθε εξάρτηση στο σύστημά τους και να εφαρμόζουν αμυντικά μέτρα ανάλογα.»

Σε μια ενημέρωση που κοινοποιήθηκε ώρες μετά την ανακοίνωση της πάγωσης από το ASC, το Kelp DAO εξέφρασε ευγνωμοσύνη για την «αποφασιστική δράση» που ανέλαβε το συμβούλιο. Απέδωσε στον «συντονισμό και τη δόμηση πληροφοριών» του SEAL 911 τον βασικό παράγοντα που επέτρεψε στους ενδιαφερόμενους να δράσουν πριν οι χάκερ μπορέσουν να μεταφέρουν τα υπόλοιπα 71 εκατομμύρια δολάρια σε ETH εκτός του δικτύου Arbitrum.

Παρά την επιτυχημένη πάγωση, περίπου 220 εκατομμύρια δολάρια παραμένουν αγνοούμενα. Το Kelp DAO επιβεβαίωσε ότι η κύρια εστίασή του είναι πλέον η συνεργασία με το Aave και άλλους εταίρους για την αντιμετώπιση της «επισφαλούς οφειλής» που δημιουργήθηκε από το exploit. Ο οργανισμός δήλωσε ότι θα επιδιώξει επίσης όλες τις διαθέσιμες οδούς για την υποστήριξη των κατόχων rsETH και την αποκατάσταση της ισοτιμίας του πρωτοκόλλου.