Cardano loojan hoiatab: KelpDAO rünnak paljastab Ethereumi nõrgima kohas

Cardano looja Charles Hoskinson kasutas oma viimast otseülekannet, et väita, et umbes 292 miljoni dollari suurune KelpDAO rünnak ei olnud lihtsalt veel üks sildade (bridge) tõrge, vaid laiem hoiatus selle kohta, kuidas Ethereumi restaking, ristahela sõnumite saatmine ja laenamise stack võivad üheainsa kompromisse teisendada süsteemiliseks nakatumiseks.

Hoskinsoni versiooni kohaselt paljastas 18. aprillil toimunud rünnak, millest ta peab kaasaegse DeFi kõige nõrgemaks kohaks: mitte tingimata rakendustaseme nutikad lepingud, vaid kontrollikihid ja protokollide vahelised sõltuvused. Ta ütles, et rünnak, mille käigus KelpDAO Ethereumi tagatisrahakontolt ära võeti umbes 116 500 rsETH-i, peaks põhjustama laiemat tööstuslikku arutelu sildade usalduslike eelduste, verifikaatorite disaini ja halva tagatise leviku kiiruse kohta laenamisturgudel.

Cardano looja hoiatab ohtlikust puudusest Ethereumi DeFi südameras

Asemel, et esitada tavaline pärast-sündmuste-analüüs (postmortem), ütles Hoskinson, et ta võttis enda sisemised insidentiaruanded ja kasutas AI-d, et muuta need veebisaidiks, mis juhis vaatajaid rünnaku mehhanismi läbi. Selle struktuur rõhutas tema laiemat seisukohta: tõrge, nagu ta seda kirjeldas, ei alganud KelpDAO enda sees vigase lepingumatematikaga ega ka ilmse raamatupidamisviga LayerZero tasandil. Pigem keskendus see võltsitud ristahela sõnumile, mida vastu võeti õiguspäraseks ja mis lubas rahaliste vahendite vabanemise Ethereumil.

„Seega ei olnud see nutikate lepingute probleem KelpDAO ja LayerZero puhul, vaid ristahela sõnumite võltsimine,“ ütles Hoskinson. „See oli midagi uut ja erinevat.“

Cardano looja tagasid korduvalt ühe konkreetse disainivaliku – nimega „üks-ühest“ (one-of-one) verifikaatori konfiguratsiooni kasutamise. Tema selgituse kohaselt oleks parim praktika olnud mitmeverifikaatori mudel, näiteks kolm viiest, kuid KelpDAO seadistus tugines ühe aktiivse DVN-il (Dedicated Verifier Node). Tema väitel loodi sellega vastuvõetamatu ühekordne nurk (single point of failure) süsteemis, mis on juba nii paljude staking-wrapperite, restaking-protokollide, sildade ja laenamisplatvormidega kihtunud.

„Tõrge oli verifitseerimisloogikas, mitte rakendusloogikas,“ ütles ta. „Kelp tegi kõik õigesti oma lepingutega. Nad on audititud. Nad töötavad hästi. Rakendus töötab hästi. Tegu on silla (bridge) konfigureerimisega.“ Hoskinson rõhutas ka seda, et tööstus ei ole veel kindlaks teinud, kus täpselt asub vastutus.

Tema kokkuvõtte kohaselt ilmus pärast rünnakut kolm eraldi juurpõhjuse analüüsi: üks LayerZero poolt, üks KelpDAO poolt ja üks seotud LlamaRiski ja Aave valitsemisaruteludega – kuid ükski neist ei ole täielikult ühesmeelne. Seega jääb avatuks, kas katkemine toimus sõnumikihis, verifikaatori seadistuses, KelpDAO vastuvõtmisloogikas või nende piiridel.

Selle sündmuse erilise olulisuse põhjustas tema arvates mitte ainult varastamine ise, vaid ka see, mis sellele järgnes. Asemel, et varastatud rsETH-i müüa decentraliseeritud börsidel, kasutas ründaja seda väidetavalt tagatiseks laenamisturgudel, et saada laenuna rohkem likviidsaid varasid. See teisendas rünnaku teiste protokollide bilansiprobleemiks ning jäi järel „mürgine“ tagatis, nagu Hoskinson seda nimetas.

Ta nimetas seda dünaamikat sündmuse tegelikuks uudsuseks. „See ei olnud lihtsalt silla (bridge) rünnak. See levitas laenamisse, mis siis loodi halva võla nakatumise laenamisprotokollides. See põhjustas pangarunni ja me nägime, et $290 miljoni rünnaku tõttu tõmmati väga lühikese aja jooksul välja $13 miljardit TVL-i.“

Cardano looja ütles, et laiem DeFi likviidsuskriis ulatus kaugemale kui KelpDAO ise. Viidates oma ülevaates mainitud avalikele andmetele, viitas ta vähemalt üheksale otseselt mõjutatud protokollile ja ütles, et üksnes Aave kaotas $6,6 miljardit kuni $8,45 miljardit, samas kui rsETH kauplemine oli 24 tunni jooksul pärast rünnakut volatiilses vahemikus umbes $1600–$2500.

Ta tõstatas ka Lazarusi osaluse võimaluse, kuigi tunnistas, et atributsioon on seni kinnitamata. „Siin on palju tõendeid Lazarusiga seotuse kohta,“ ütles ta, lisades aga, et ükski sõltumatu forensikaettevõte pole seda kindlaks tõestanud.

Aeglasel ajal kauples Cardano (ADA) $0,2504.