Kelp DAO -hakkerointi laukaisi 13 miljardin dollarin pudotuksen DeFi-sektorilla
- Pohjois-Korean Lazarus-ryhmä yhdistetty Kelp DAO:n 292 miljoonan dollarin hakkeroinniin.
- Aaven TVL romahti 8,4 miljardia dollaria tartuntavaikutuksen seurauksena.
- DeFin kokonaisarvo laski 13,2 miljardia dollaria 48 tunnissa.
- LayerZero lopettaa yhden vahvistajan konfiguraatioiden tukemisen.
Vuoden suurin kryptohakkerointi laukaisi ketjureaktion
Kelp DAO:n hajautetusta sillasta (bridge) varastettiin 116 500 rsETH-tokenia — noin 292 miljoonaa dollaria — 18. huhtikuuta kello 17.35 UTC. Hyökkääjät toimivat 46 minuutissa. LayerZero on sittemmin yhdistänyt hyökkäyksen Pohjois-Korean Lazarus-ryhmän TraderTraitor-alayksikköön.
Yhdessä Drift Protocolin 285 miljoonan dollarin hakkeroinnin kanssa (1. huhtikuuta) Lazarus on vienyt DeFi-protokollista yli 575 miljoonaa dollaria 18 päivässä.
Yksi vahvistaja riitti murtoon
Hyökkäyksen mahdollisti Kelp DAO:n päätös käyttää LayerZeron hajautetussa vahvistajaverkostossa (DVN) vain yhtä vahvistajaa — niin kutsuttua 1-of-1-konfiguraatiota. Hyökkääjät mursivat kaksi RPC-solmua ja korvasivat niiden ohjelmiston haitallisella versiolla, joka välitti väärennettyä tietoa vahvistajalle. Samanaikaisesti he lamauttivat puhtaat solmut palvelunestohyökkäyksellä (DDoS), jolloin järjestelmä turvautui myrkytettyihin varasolmuihin.
LayerZeron mukaan yhtiö oli suositellut Kelp DAO:lle monivahvistajakonfiguraatiota sekä integrointiohjeissaan että suorassa yhteydenpidossa. Kelp DAO ei ole toistaiseksi kommentoinut LayerZeron väitteitä.
LayerZero ilmoitti, ettei se enää allekirjoita viestejä sovelluksille, jotka käyttävät 1-of-1 DVN -konfiguraatiota.
Aave-pankkipako ja 13 miljardin romahdus
Varastetut rsETH-tokenit talletettiin Aave-lainausprotokollaan vakuudeksi, jolla hyökkääjät lainasivat noin 126 000 ETH:ta — noin 196 miljoonan dollarin edestä luottotappioita.
Tämä laukaisi pankkipakomaisen nostoryntäyksen. Aaven kokonaisarvo (TVL) putosi 26,4 miljardista noin 18 miljardiin dollariin — 8,4 miljardin dollarin lasku 48 tunnissa. AAVE-token laski noin 18 prosenttia 112 dollarista 91 dollariin.
CoinDeskin mukaan koko DeFi-sektorin TVL supistui 99,5 miljardista 86,3 miljardiin dollariin — 13,2 miljardin dollarin pudotus kahdessa päivässä.
Tartunta levisi laajalle
Useat protokollat reagoivat nopeasti. Aave jäädytti rsETH-markkinat sekä V3- että V4-versioissa. SparkLend, Fluid ja Lido Finance tekivät samoin. Ethena keskeytti LayerZero OFT -sillat Ethereum-pääverkosta, ja BitGo sulki WBTC:n LayerZero DVN:t varotoimenpiteenä.
Ripplen teknologiajohtaja emeritus David Schwartz kommentoi tilannetta: "Heidän myyntipuheensa oli, että heillä on parhaat turvaominaisuudet, mutta ne ovat helppokäyttöisiä ja skaalautuvia — olettaen, ettet käytä turvaominaisuuksia."
Rakenteellinen kysymys
Kelp DAO:n tapaus paljastaa DeFin siltainfrastruktuurin heikon kohdan. Vuodesta 2022 lähtien siltahakkeroinnit ovat aiheuttaneet yli 3 miljardin dollarin tappiot. LayerZeron arkkitehtuuri mahdollistaa korkean turvallisuustason, mutta protokollat voivat vapaasti valita halvemman ja heikomman konfiguraation — kuten Kelp teki 15 kuukauden ajan.
Aaven hallintofoorumilla käydään kiireellistä keskustelua hätävelkarahastosta, mutta virallista äänestystä ei ole vielä aloitettu. Markkinoiden pelkoindeksi on 29 (pelko), ja DeFi-sektorin luottamus on koetuksella.
