De KelpDAO hack van 293 miljoen dollar is een wake-up call voor het complexiteitsrisico in DeFi

Ik volg de DeFi-wereld sinds 2019 en als er één ding is dat ik heb geleerd, dan is het dat "innovatie" vaak gewoon een netjes woord is voor "we hebben een extra laag risico toegevoegd die niemand echt begrijpt." De recente hack van 293 miljoen dollar bij KelpDAO is niet zomaar het zoveelste exploit op een lange lijst. Het is een schoolvoorbeeld van wat complexiteitsrisico in DeFi is. Het laat zien dat de sector een muur raakt waar de wiskunde simpelweg te verstrengeld wordt om nog veilig te beheren. We hebben eerder DeFi wallet risico's besproken voor meer achtergrond.

Wat is er precies gebeurd bij KelpDAO

Voor wie niet diep in de wereld van liquid restaking zit: KelpDAO was bedoeld om gebruikers hun liquiditeit te laten behouden terwijl ze beloningen verdienden op gestakete assets. Het probleem is dat liquid restaking geen simpel proces is. Het gaat om lagen van smart contracts, protocollen van derden en recursieve lussen van onderpand.

In dit geval vond de aanvaller niet zomaar een simpele bug in één regel code. Ze maakten misbruik van de manier waarop verschillende componenten van het protocol met elkaar communiceerden. Door de status van het systeem te manipuleren, konden ze bijna 300 miljoen dollar leegtrekken. Dit was geen "flash loan" aanval in de traditionele zin, maar een falen van het systeem om een specifieke, complexe reeks gebeurtenissen af te handelen.

Wat is complexiteitsrisico in DeFi en waarom is het belangrijk

Als ik het over complexiteitsrisico heb, bedoel ik het "Lego-blok"-probleem. In de beginjaren deed een protocol één ding. Uniswap wisselde tokens. Aave leende ze. Simpel. Maar nu hebben we protocollen die bovenop andere protocollen zitten, die op hun beurt weer zijn verpakt in een andere token, die vervolgens in een yield optimizer wordt gestort.

Elke nieuwe laag is een nieuw zwak punt. Zelfs als elk individueel stukje code is "geaudit" en "veilig" is, kan de interactie tussen die stukken nieuwe kwetsbaarheden creëren. Het is alsof je een wolkenkrabber bouwt waarbij elke bout sterk is, maar het totale architectonische ontwerp zo instabiel is dat een windvlaag in de verkeerde richting het hele gebouw omver blaast.

Ik heb dit patroon vaker gezien. We schreven eerder over de Drift Protocol hack, waarbij het risico niet alleen in de code zat, maar in het menselijke element en de administratieve sleutels. KelpDAO is anders omdat het risico ingebakken zat in de logica van het product zelf.

Waar de sector de mist in gaat

Het grootste probleem is dat de meeste gebruikers (en zelfs sommige ontwikkelaars) audits zien als een "keurmerk". Ze zien een PDF van een gerespecteerd beveiligingsbedrijf en gaan ervan uit dat hun geld veilig is. Maar een audit is slechts een momentopname. Het houdt geen rekening met hoe een protocol zich gedraagt wanneer het interacteert met vijf andere live protocollen in een volatiele markt.

Ik ben eerlijk gezegd klaar met de "move fast and break things"-mentaliteit wanneer de "things" die kapotgaan de spaargelden van mensen zijn. De huidige marktdata laat een Neutrale sentiment zien met een Fear & Greed Index van 43, terwijl de Bitcoin dominantie op 60,25% staat. Mensen verschuilen zich in BTC omdat ze beseffen dat de "hoge yield" in DeFi vaak een verborgen prijs heeft van extreem systemisch risico.

Hoe je jezelf beschermt tegen systemisch falen

Als je klaar bent met het zien van 300 miljoen dollar die in een paar blocks verdwijnt, moet je anders gaan kijken naar hoe je je assets bewaart. Ik kan je niet vertellen welk protocol "veilig" is, want in een complex systeem is veiligheid een illusie. Wat ik wel kan zeggen, is dat je je belangrijkste holdings nooit in een protocol moet laten staan dat je fundamenteel niet begrijpt.

Voor de assets die je echt voor de lange termijn wilt vasthouden, moet je ze van de chain halen en in een hardware wallet zetten. Ik heb zelf een voorkeur voor de Ledger Flex omdat het E Ink-touchscreen het veel moeilijker maakt om per ongeluk een kwaadaardige transactie te tekenen. Het kost 249 dollar, wat een kleine prijs is vergeleken met alles verliezen door een complexiteits-exploit.

Mijn laatste oordeel

DeFi wordt eindelijk gedwongen om volwassen te worden. Het tijdperk van tien verschillende protocollen stapelen om een 20% APY na te jagen, loopt ten einde omdat het risico te duidelijk wordt. Ik denk dat we een verschuiving gaan zien naar "saaie" DeFi. Simpele, transparante en zwaar geteste protocollen zullen winnen van de flitsende, complexe versies.

Tot die tijd kun je er vanuit gaan dat elk protocol dat "geoptimaliseerde" of "gelaagde" yields belooft, in feite een gigantisch experiment is met jouw geld. Als je de geldstroom niet binnen dertig seconden op een servetje kunt tekenen, is het waarschijnlijk te complex om veilig te zijn.

Handel in het nieuws via onze door de redactie gekozen exchange: MEXC