博链BroadChain erfuhr, dass am 22. April um 19:30 Uhr der DeFi-Bereich erneut einen schweren Schlag erlitt. Das Liquiditäts-Restaking-Projekt Kelp DAO wurde kürzlich angegriffen, wobei die Verluste schätzungsweise 292 Millionen US-Dollar betragen. Dieses Ereignis hat nicht nur die eigenen Schatzkammern des Projekts geleert, sondern durch die Komponierbarkeit von DeFi auch eine Kettenreaktion ausgelöst, die zu über 200 Millionen US-Dollar an faulen Krediten beim Kreditprotokoll Aave führte.
Sicherheitsanalysen zeigen, dass der Angreifer keine Schwachstelle im Smart Contract ausnutzte, sondern durch die Manipulation eines zugrundeliegenden RPC-Knotens gefälschte Daten an das Cross-Chain-Protokoll LayerZero übertrug. Die fatale Schwäche lag jedoch darin, dass ein kritischer Teil des Projekts einen 1/1 Single-Sign-Mechanismus verwendete, der es dem Hacker ermöglichte, nach der Datenmanipulation ungehindert einzudringen und enorme Vermögenswerte auf einmal zu transferieren. On-Chain-Verfolgung deutet auf die nordkoreanische Hacker-Gruppe Lazarus Group hin, deren effiziente Geldwäschewege die Bedrohung durch staatliche Angreifer unterstreichen.
Nach dem Vorfall ist die Verantwortungszuweisung umstritten. Kelp DAO wirft LayerZero vor, Schwachstellen in der Infrastruktur zu haben, während LayerZero entgegnet, das Problem liege im blinden Vertrauen des Projektteams in die RPC-Daten. Aave erlitt Kollateralschäden, weil es Vermögenswerte von Kelp DAO als Sicherheit akzeptierte. Obwohl geplant ist, den Schutzfonds zur Deckung der Verluste einzusetzen, offenbart dies das systemische Risiko von "wenn einer leidet, leiden alle" im DeFi-Ökosystem.
Dieser Angriff hat in der Branche eine tiefgreifende Reflexion über die Fehlanpassung von Risiko und Ertrag in DeFi ausgelöst. Nutzer, die einstellige jährliche Renditen oder Punkte verfolgen, tragen das Risiko eines vollständigen Verlusts ihres Kapitals. Im Wettbewerb um das Gesamtvolumen der gesperrten Vermögenswerte (TVL) verwenden viele Protokolle Niedriggebührenmodelle, deren geringe Einnahmen kaum die für die Abwehr hochrangiger Angriffe erforderlichen Sicherheitsinvestitionen decken können. Dies bildet eine fragile Struktur von "Privatisierung der Erträge, Sozialisierung der Risiken".
Angesichts des Trends, dass institutionelles Kapital den Markt beschleunigt betritt, beginnt die Branche, den Wert von konformen Verwahrlösungen neu zu bewerten. Die Trennung der Geschäftslogik von der Vermögensverwahrung, wobei professionelle Verwahrer für das Schatzmanagement verantwortlich sind, kann Single Points of Failure wirksam verhindern. Eine unabhängige Intent-Risikokontroll-Engine kann Off-Chain-Anomalien in Transaktionen abfangen und überprüfen und damit einen treuhänderischen Schutz bieten, den Code allein nicht gewähren kann. Dies könnte zur notwendigen Infrastruktur werden, um Mainstream-Kapital anzuziehen und eine langfristige Entwicklung für DeFi-Protokolle zu ermöglichen.