A 293 millió dolláros KelpDAO hackelés egy ébresztőrajongás a DeFi komplexitási problémájára

2019 óta követem a DeFi világát, és ha egy dolgot megtanultam, az az, hogy az "innováció" gyakran csak egy udvarias kifejezés arra, hogy "hoztunk létre egy újabb kockázati réteget, amit senki sem értel teljesen". A közelégi 293 millió dolláros KelpDAO hackelés nem csak egy újabb sor a végtelen lista végén. Ez egy tankönyv példája arra, hogy mi a komplexitási kockázat a DeFi-ben, és azt mutatja, hogy az ipar végül elérte azt a pontot, ahol a matematika egyszerűen túl bonyolultá vált ahhoz, hogy biztonságosan kezelhessék. Korábban írtam a DeFi tárcák kockázatairól, ha több háttérinformációra van szükséged.

Mi történt egenthal KelpDAO-val?

Hogy ne kelljen a liquid restaking mélyrégeiben bonyolódnod: a KelpDAO azt tervezték, hogy a felhasználók megőrizzék a likviditásukat, miközben jutalmakat earnsz a stake-ölt eszközökön. A probléma az, hogy a liquid restaking nem egy egyszerű folyamat. Okos szerződégek rétegeit, harmadik féltől származó protokollokat és collateral (zálog) recurszív ciklusait igényeli.

Ebben az esetben a támadó nem egy egyszerű hibát keresett egyetlen kódsorban. Azt hasznosították ki, hogy a protokoll különböző komponensei hogyan interagáltak egymással. A rendszer állapotának manipulálásával sikerült majdnem 300 millió dollárt kiszivatkozniuk. Ez nem volt egy hagyományos "flash loan" támadás, hanem egyszerűen a rendszer képtelensége egy specifikus, komplex eseménysorozat kezelésére.

Mi a komplexitási kockázat a DeFi-ben és miért fontos?

Amikor a komplexitási kockázatról beszélek, a "Lego kocka" problémára utalok. A kezdetekben egy protokoll egyetlen dolgot csinált. Az Uniswap cserélte a tokeneket. Az Aave kölcsönadta őket. Egyszerű. De most olyan protokollaink vannak, amelyek más protokollokon nyugvzik, amelyek viszont egy másik tokenbe vannak csomagolva, amit aztán egy hozamoptimalizálóba befektetnek.

Minden új réteg egy újabb hibaforrás. Még ha minden egyes kódrészlet "auditált" és "biztonságos" is, az elemek összekapcsolódása váratlan sebezhetőségeket szülhet. Olyan ez, mint egy felhőkarcolót építenek, ahol minden egyes csavar erős, de az egész építészeti terv olyan instabil, hogy egy rossz irányú szellő is megdöntheti az egész szerkezetet.

Láttam már ezt a mintát korábban. Beszéltünk a Drift Protocol hackeléséről, ahol a kockázat nem csak a kódban, hanem az emberi tényezőben és a rendszergazdái kulcsai vezették. A KelpDAO esetében viszont a kockázat maga a termék logikája része volt.

Hol hibázik az ipar?

A legnagyobb baj az, hogy a legtöbb felhasználó (és néhány fejlesztő is) az auditokat egyfajta "minőségi pecséteként" kezeli. Látnak egy PDF-et egy neves biztonsági cégtől, és azt hiszik, a pénzuk biztonságban van. De egy audit csak egy pillanatnyi snapshot. Nem veszi figyelembe, hogyan viselkedik egy protokoll, amikor öt másik élő protokollal interagál egy volatilis piacon.

Őrültül aliphatic vagyok a "gyorsan építsünk és törjük meg a dolgokat" mentalitástól, főleg akkor, ha a "dolgok" az emberek élettakarékjai. A jelenlegi piaci adatok Semleges sentimentet mutatnak, a Fear & Greed Index 43-on áll, a Bitcoin dominanciája pedig 60,25%. Az emberek a BTC-be menekülnek, mert rájöttek, hogy a DeFi-ben a "magas hozam" gyakran egy rejtett, rendkívüli rendszerkockázattal jár.

Hogyan védkezzél a rendszerhibák ellen?

Ha eleged van abból, hogy nézd, ahogy 300 millió dollár eltűnik pár blokkon belül, meg kell változtatnod, hogyan tartod az eszközeidet. Nem tudom megmondani, melyik protokoll "biztonságos", mert egy ilyen komplex rendszerben a biztonság csak egy illúzió. Amit viszont tudom: soha ne hagyd a fő vagyonodat olyan protokollban, amit alapvetően nem értesz.

Azok eszközök esetében, amiket ténylegesen hosszú távon tartani tervezel, vedd ki őket a chainről és tedd egy hardveres tárcába. Én személy szerint a Ledger Flex eszközt preferálom, mert az E Ink érintőképernyő miatt sokkal nehezebb véletlenül aláírni egy rosszmindenű tranzakciót. 249 dollárba kerül, ami apró összeg ahhoz képest, ha egy komplexitási hiba miatt mindent elveszítenél.

Az én véleményem

A DeFi-nek végre fel kell nőnie. A tíz különböző protokoll egymásra rakásának korszaka, hogy csak egy 20%-os APY-t kergessünk, véget ér, mert a kockázat már túl egyértelmű. Szerintem egy váltást látunk a "uniós" vagy egyszerűbb DeFi felé. Az egyszerű, átlátható és alaposan tesztelt protokollok győznek majd a flashy, komplex megoldások felett.

Addig is úgy tekints bármilyen "optimalizált" vagy "rétegzett" hozamot ígérő projekthez, mint egy hatalmas kísérlet a pénzeddel. Ha nem tudod egyalapú vázlatként egy szalgetán felrajzolni a pénz áramlását harminc másodperc alatt, akkor valószínűleg túl komplex ahhoz, hogy biztonságos legyen.

Kereskedj a híreket a szerkesztőségünk által választott tőzsdén: MEXC