Уязвимость безопасности, которая потрясла весь DeFi

Автор: thedefinvestor Перевод:善欧巴, 金色财经

Полный разбор инцидента с атакой rsETH

На прошлой неделе Kelp DAO столкнулась с одной из крупнейших за последнее время атак на DeFi.

Хакеры использовали поддельные межцепочные сообщения, взломали межцепочный мост rsETH, поддерживаемый LayerZero, и произвели несанкционированное создание 116 500 rsETH, стоимостью примерно 290 миллионов долларов.

Сам по себе этот инцидент имел серьезные последствия, а глубокая интеграция rsETH в DeFi-экосистему еще больше усилила масштабы катастрофы. Например, rsETH ранее был включен в список обеспечений для залога в Aave.

После несанкционированного создания rsETH хакеры сразу же заложили его в Aave в качестве залога для займа ETH, что привело к образованию сверхбольших долгов на сумму свыше миллиарда долларов.

И не только Aave — последствия этого инцидента затронули множество протоколов: Compound, хранилище EarnETH от Lido, некоторые пулы заимствования Morpho, продукт mHyperETH от Hyperithm, хранилище SuperWETH от Superform и другие, которые в той или иной мере держали или подключались к rsETH, пострадали от этого.

Кто же несет ответственность за случившееся?

По сравнению с предыдущими атаками, например, Drift, ответственность за этот инцидент определить сложнее.

Уязвимость возникла не в смарт-контрактах Kelp DAO, а в межцепочном мосте rsETH, управляемом LayerZero. В настоящее время стороны обвиняют друг друга: LayerZero обвиняет Kelp DAO, а Kelp DAO считает, что вся ответственность лежит на LayerZero.

Объективно выделим ключевые факты:

1. Хакеры взломали две RPC-службы, на которых основана сеть распределенных валидаторов (DVN) LayerZero, искажающие данные для проведения злонамеренного создания монет;

2. Межцепочный мост rsETH в Kelp DAO использует одноподписную проверку (1/1 DVN), полагаясь на одного валидатора для проверки транзакций, что делает подделку транзакций очень легкой;

3. LayerZero обвиняет Kelp DAO в использовании менее безопасной одноподписной проверки, однако сама LayerZero допускает и разрешает всем проектам использовать минималистичный режим проверки 1/1;

4. Перед атакой в децентрализованных приложениях, подключенных к межцепочной инфраструктуре LayerZero, 47% использовали именно конфигурацию 1/1 DVN, и это не исключение для Kelp DAO.

Можно без особых технических деталей понять: LayerZero должна нести основную ответственность и признать свои проектные недостатки.

Проблема Kelp DAO — в чрезмерном упрощении мер безопасности, использовав только одного валидатора; если бы применялась мультиподписная проверка с несколькими валидаторами, эта атака могла бы быть предотвращена. Но в конечном итоге, если бы RPC-узлы LayerZero не были взломаны, вся эта кража не могла бы произойти.

Дальнейшие события и реакция индустрии

К счастью, около трети украденных активов уже заблокированы и возвращены Arbitrum, а официальные лица заблокировали связанные с хакером средства.

С точки зрения принципов децентрализации, инициатива по заморозке активов со стороны проекта вызывает споры. Но в реальности, при условии, что на втором уровне полностью децентрализовать невозможно, активное ограничение убытков и защита пользовательских средств гораздо важнее пустых идеалов.

В то же время, Aave проводит многостороннюю оценку решений, пытаясь компенсировать огромные убытки, вызванные этим инцидентом. Координатор рисков Aave, LlamaRisk, предложил два варианта действий:

1. Распределение убытков по всей сети: объединить потери на всех цепочках, где развернут Aave, и возложить 1.54% убытка на заемщиков на основной сети Ethereum;

2. Изоляция убытков: ограничить потери цепочками, использующими rsETH для залога и заимствования, при этом заемщики на Mantle могут понести убытки до 71%.

Все приведенные оценки основаны на предположении, что до блокировки 30 766 ETH хакера на Arbitrum, реальные убытки могут значительно снизиться.

Кроме того, Aave не исключает возможность использования казны для списания части плохих долгов, а официальные представители Mantle подтвердили, что разрабатывают планы по восстановлению активов и компенсациям.

Лично я надеюсь, что окончательное решение максимально защитит интересы пользователей и обеспечит нулевые или минимальные убытки. В течение долгого времени Aave оставался эталоном низкорискованных инвестиционных продуктов в DeFi, и этот инцидент серьезно повредил его репутации.

После разгорания инцидента многие выражают пессимизм относительно отрасли, считая, что крупные протоколы последовательно терпят крах, и DeFi движется к упадку.

Я не разделяю такую точку зрения. История развития показывает, что DeFi переживал множество кризисов, но всегда находил силы для восстановления, итераций и возрождения.

DeFi не исчезнет, но вся индустрия должна признать проблему: перед стремлением к инновациям и доходности безопасность должна стать приоритетом.