KelpDAO-hacken på 293 miljoner dollar är en väckarklocka för DeFi:s komplexitetsrisk

Jag har följt DeFi-sfären sedan 2019, och om det är en sak jag lärt mig så är det att "innovation" ofta bara är ett fint ord för "vi lade till ytterligare ett lager av risk som ingen egentligen förstår". Det senaste hacket mot KelpDAO på 293 miljoner dollar är inte bara ännu en post på den långa listan av exploits. Det är ett skolboksexempel på vad komplexitetsrisk i defi innebär, och det visar att branschen äntligen har nått en vägg där matematiken helt enkelt blir för rörig för att kunna hanteras säkert. Vi har tidigare skrivit om risker med DeFi-plånböcker för mer bakgrund.

Vad hände egentligen med KelpDAO?

För er som inte är helt insupade i detaljerna kring liquid restaking, så var KelpDAO designat för att låta användare behålla sin likviditet samtidigt som de tjänade rewards på sina stakade tillgångar. Problemet är att liquid restaking inte är en enkel process. Det innebär lager av smarta kontrakt, tredjepartsprotokoll och rekursiva loopar av säkerheter.

I det här fallet hittade angriparen inte bara en enkel bugg i en rad kod. De utnyttjade hur olika komponenter i protokollet interagerade med varandra. Genom att manipulera systemets tillstånd kunde de tömma nästan 300 miljoner dollar. Det här var inte en "flash loan"-attack i traditionell mening, utan snarare ett misslyckande i systemets förmåga att hantera en specifik och komplex sekvens av händelser.

Vad är komplexitetsrisk i defi och varför spelar det roll?

När jag pratar om komplexitetsrisk menar jag "Lego-problemet". I början gjorde ett protokoll en sak. Uniswap bytte tokens. Aave lånade ut dem. Enkelt. Men nu har vi protokoll som ligger ovanpå andra protokoll, som i sin tur är inslagna i en annan token, som sedan sätts in i en yield-optimizer.

Varje nytt lager är en ny felkälla. Även om varje enskild kodbit är "granskad" och "säker", kan sättet dessa delar interagerar på skapa nya sårbarheter. Det är som att bygga en skyskrapa där varje enskild bult är stark, men där den övergripande arkitekturen är så instabil att en vindpust i fel riktning välter hela bygget.

Jag har sett det här mönstret förut. Vi täckte tidigare Drift Protocol-hacket, där risken inte bara låg i koden utan i den mänskliga faktorn och administrativa nycklar. KelpDAO är annorlunda eftersom risken var inbyggd i själva produktlogiken.

Där branschen misslyckas

Det största problemet är att de flesta användare (och till och med vissa utvecklare) ser granskningar, så kallade audits, som en "godkändstämpel". De ser en PDF från ett välrenommerat säkerhetsföretag och antar att pengarna är säkra. Men en audit är bara en ögonblicksbild. Den tar inte hänsyn till hur ett protokoll beter sig när det interagerar med fem andra live-protokoll i en volatil marknad.

Jag är ärligt talat trött på "move fast and break things"-mentaliteten när det som går sönder är människors livsbesparingar. För mig, som växte upp i ett hem som drabbades hårt av finanskrisen 2008, känns det här bekant. Då var det komplexa derivat som sänkte systemet, nu är det komplexa smarta kontrakt. Aktuella marknadsdata visar en neutral sentiment med ett Fear & Greed Index på 43, och Bitcoins dominans ligger på 60,25 %. Folk gömmer sig i BTC för att de har insett att den "höga avkastningen" i DeFi ofta kommer med en dold kostnad i form av extrem systemrisk.

Så skyddar du dig mot systemfel

Om du är trött på att se 300 miljoner dollar försvinna på några block måste du ändra hur du förvarar dina tillgångar. Jag kan inte säga vilket protokoll som är "säkert", för i ett komplext system är säkerhet en illusion. Vad jag däremot kan säga är att du aldrig bör lämna dina huvudtillgångar i ett protokoll som du inte fundamentalt förstår.

För de tillgångar du faktiskt planerar att behålla långsiktigt bör du flytta dem från kedjan till en hårdvaruplånbok. Jag föredrar personligen Ledger Flex eftersom E Ink-skärmen gör det mycket svårare att av misstag signera en skadlig transaktion. Den kostar 249 dollar, vilket är ett lågt pris jämfört med att förlora allt i en komplexitets-exploit.

Min slutgiltiga analys

DeFi tvingas äntligen bli vuxet. Eran av att stapla tio olika protokoll för att jaga 20 % APY är på väg att ta slut eftersom risken har blivit för uppenbar. Jag tror att vi kommer se en förflyttning mot "tråkig" DeFi. Enkla, transparenta och hårt testade protokoll kommer att vinna över de flashiga och komplexa.

Tills dess bör du utgå från att alla protokoll som lovar "optimerad" eller "lager-baserad" avkastning i praktiken är ett gigantiskt experiment med dina pengar. Om du inte kan rita flödet av medel på en servett på trettio sekunder, är det förmodligen för komplext för att vara säkert.

Handla nyheterna på vår redaktionens valda börs: MEXC