Il hack di KelpDAO da 293 milioni di dollari e il problema del rischio di complessità in DeFi

Seguo il mondo DeFi dal 2019 e, se c'è una cosa che ho imparato, è che "innovazione" è spesso solo un modo gentile per dire "abbiamo aggiunto un altro strato di rischio che nessuno capisce davvero". Il recente hack di KelpDAO da 293 milioni di dollari non è solo l'ennesimo exploit in una lista infinita. È l'esempio perfetto di cosa sia il rischio di complessità in DeFi, e ci mostra che il settore sta finalmente sbattendo contro un muro dove la matematica diventa semplicemente troppo aggrovigliata per essere gestita in sicurezza. In precedenza abbiamo analizzato i rischi dei wallet DeFi per dare un contesto più ampio.

Cosa è successo esattamente con KelpDAO

Per chi non è immerso nelle complicazioni del liquid restaking, KelpDAO era pensato per permettere agli utenti di mantenere la liquidità mentre guadagnavano premi sugli asset in staking. Il problema è che il liquid restaking non è un processo semplice. Coinvolge strati di smart contract, protocolli di terze parti e loop ricorsivi di collaterale.

In questo caso, l'attaccante non ha trovato un semplice bug in una riga di codice. Ha sfruttato il modo in cui i diversi componenti del protocollo interagivano tra loro. Manipolando lo stato del sistema, è riuscito a drenare quasi 300 milioni di dollari. Non è stato un attacco "flash loan" in senso tradizionale, ma piuttosto un fallimento del sistema nel gestire una sequenza specifica e complessa di eventi.

Cos'è il rischio di complessità in DeFi e perché è importante

Quando parlo di rischio di complessità, mi riferisco al problema dei "blocchi Lego". All'inizio, un protocollo faceva una sola cosa. Uniswap scambiava token. Aave li prestava. Semplice. Ma ora abbiamo protocolli che poggiano su altri protocolli, che a loro volta sono avvolti in un altro token, che poi viene depositato in un ottimizzatore di rendimento.

Ogni nuovo strato è un nuovo punto di rottura. Anche se ogni singolo pezzo di codice è "auditato" e "sicuro", il modo in cui questi pezzi interagiscono può creare vulnerabilità emergenti. È come costruire un grattacielo dove ogni singolo bullone è robusto, ma il design architettonico complessivo è così instabile che un soffio di vento nella direzione sbagliata butta giù tutto.

Ho già visto questo schema. Abbiamo parlato del hack di Drift Protocol, dove il rischio non era solo il codice, ma l'elemento umano e le chiavi amministrative. KelpDAO è diverso perché il rischio era integrato nella logica stessa del prodotto.

Dove il settore sta fallendo

Il problema più grande è che molti utenti (e persino alcuni sviluppatori) trattano gli audit come un "bollino di garanzia". Vedono un PDF di una società di sicurezza rinomata e presumono che i loro soldi siano al sicuro. Ma un audit è solo un'istantanea in un momento preciso. Non tiene conto di come si comporta un protocollo quando interagisce con altri cinque protocolli live in un mercato volatile.

Sinceramente, sono stanca della mentalità "muoviti velocemente e rompi le cose" quando le "cose" che vengono rotte sono i risparmi di una vita delle persone. I dati di mercato attuali mostrano un sentiment Neutrale con un Fear & Greed Index a 43 e una dominanza di Bitcoin al 60,25%. La gente si rifugia in BTC perché ha capito che l'alto rendimento in DeFi spesso nasconde un costo estremo di rischio sistemico.

Come proteggersi dai fallimenti sistemici

Se siete stufi di vedere 300 milioni di dollari svanire in pochi blocchi, dovete cambiare il modo in cui conservate i vostri asset. Non posso dirvi quale protocollo sia "sicuro" perché, in un sistema complesso, la sicurezza è un'illusione. Quello che posso dirvi è che non dovreste mai lasciare le vostre posizioni principali in un protocollo che non capite fondamentalmente.

Per gli asset che intendete tenere a lungo termine, portateli fuori dalla chain in un hardware wallet. Io personalmente preferisco il Ledger Flex perché lo schermo touchscreen E Ink rende molto più difficile firmare accidentalmente una transazione malevola. Costa 249 dollari, un prezzo irrisorio se paragonato a perdere tutto per un exploit di complessità.

La mia conclusione

La DeFi è finalmente costretta a crescere. L'era di impilare dieci protocolli diversi per inseguire un APY del 20% sta finendo perché il rischio è diventato troppo ovvio. Penso che vedremo uno spostamento verso una DeFi "noiosa". Protocolli semplici, trasparenti e pesantemente testati vinceranno su quelli appariscenti e complessi.

Fino ad allora, date per scontato che ogni protocollo che promette rendimenti "ottimizzati" o "stratificati" sia essenzialmente un enorme esperimento fatto con i vostri soldi. Se non riuscite a disegnare il flusso dei fondi su un tovagliolo in trenta secondi, probabilmente è troppo complesso per essere sicuro.

Operate sulle news sul nostro exchange selezionato: MEXC