Założyciel Cardano ostrzega: hack KelpDAO ujawnia najsłabsze ogniwo Ethereum

Założyciel Cardano, Charles Hoskinson, wykorzystał swój najnowszy livestream, aby przekonywać, że exploit KelpDAO o wartości około 292 milionów dolarów to nie tylko kolejna awaria mostu, lecz szersze ostrzeżenie o tym, jak restaking Ethereum, komunikaty między łańcuchami i stos pożyczkowy mogą zamienić jedno naruszenie w ogólnosystemowe zarażenie.

Według relacji Hoskinsona, atak z 18 kwietnia ujawnił to, co jego zdaniem jest najbardziej wrażliwą częścią nowoczesnego DeFi: niekoniecznie smart kontrakty na poziomie aplikacji, lecz warstwy weryfikacji i wzajemne zależności istniejące między protokołami. Stwierdził, że exploit, który objął około 116 500 rsETH wyprowadzonych z depozytu Ethereum KelpDAO, powinien wymusić szerszą branżową dyskusję na temat założeń zaufania do mostów, projektowania weryfikatorów oraz szybkości, z jaką złe zabezpieczenia mogą rozprzestrzeniać się na rynkach pożyczkowych.

Założyciel Cardano Ostrzega Przed Niebezpieczną Wadą w Sercu Ethereum DeFi

Zamiast przedstawiać standardowe podsumowanie, Hoskinson powiedział, że wziął wewnętrzne materiały z raportu incydentu i użył AI, aby przekształcić je w stronę internetową, która przeprowadziła widzów przez mechanikę exploita. Ta struktura nakreśliła jego główny punkt: awaria, jak ją opisał, nie zaczęła się od błędnej matematyki kontraktu wewnątrz samego KelpDAO ani od oczywistej luki księgowej w LayerZero. Zamiast tego stwierdził, że jej centrum stanowił sfałszowany komunikat między łańcuchami, który został przyjęty jako legitymizowany i umożliwił uwolnienie środków na Ethereum.

„Nie był to więc problem smart kontraktu z Kelp i nie był to problem smart kontraktu z LayerZero, lecz było to fałszerstwo komunikatu między łańcuchami" – powiedział Hoskinson. „Było to coś nowego i innego."

Założyciel Cardano wielokrotnie wracał do jednej konkretnej decyzji projektowej: doniesień o zastosowaniu konfiguracji weryfikatora jeden-z-jednego. W jego wyjaśnieniu, najlepszą praktyką byłby model wieloweryfikatorowy, taki jak trzy-z-pięciu, ale konfiguracja KelpDAO opierała się na jednym aktywnym DVN. Twierdził, że stworzyło to niedopuszczalny pojedynczy punkt awarii w systemie już warstwowo złożonym z wrapperów stakingowych, protokołów restakingu, mostów i platform pożyczkowych.

„Awaria leżała w logice weryfikacji, nie w logice aplikacji" – powiedział. „Kelp zrobił wszystko dobrze w swoich kontraktach. Są zaudytowane. Działają dobrze. Aplikacja działa dobrze. Problem tkwi w konfiguracji mostu." Hoskinson podkreślił również, że branży wciąż brakuje jednoznacznego stanowiska co do tego, gdzie dokładnie leży odpowiedzialność.

Według jego podsumowania, po exploicie pojawiły się trzy oddzielne analizy przyczyn źródłowych: jedna od LayerZero, jedna od KelpDAO i jedna powiązana z dyskusjami dotyczącymi LlamaRisk i zarządzania Aave – żadna z nich nie jest jednak w pełni zgodna z pozostałymi. Pozostawia to otwartą kwestię, czy przerwa nastąpiła w warstwie komunikatów, konfiguracji weryfikatora, logice akceptacji KelpDAO, czy też w szczelinach między nimi.

To, co sprawiło, że zdarzenie było szczególnie znaczące – jego zdaniem – to nie tylko sam kradzież, ale to, co nastąpiło potem. Zamiast zrzucać skradzione rsETH na zdecentralizowanych giełdach, atakujący rzekomo użył ich jako zabezpieczenia na rynkach pożyczkowych, aby pożyczyć więcej płynnych aktywów. To zamieniło exploit w problem bilansowy dla innych protokołów, pozostawiając za sobą to, co Hoskinson opisał jako zatrute zabezpieczenie.

Nazwał tę dynamikę prawdziwą nowością incydentu. „To nie był tylko atak na most. Rozprzestrzenił się na pożyczki, co stworzyło zarażenie złym długiem wewnątrz tych protokołów pożyczkowych. Wywołało to run na bank i zaobserwowaliśmy, jak 13 miliardów dolarów TVL zostało wycofane w bardzo krótkim czasie w wyniku włamania na 290 milionów dolarów."

Założyciel Cardano stwierdził, że szerszy wstrząs płynności DeFi sięgnął daleko poza samo KelpDAO. Powołując się na publiczne doniesienia przywołane w jego przeglądzie, wskazał na co najmniej dziewięć bezpośrednio dotkniętych protokołów i powiedział, że sam Aave odnotował straty w wysokości od 6,6 miliarda do 8,45 miliarda dolarów, podczas gdy rsETH handlowany był w zmiennym zakresie od około 1 600 do 2 500 dolarów w ciągu 24 godzin następujących po ataku.

Podniósł również możliwość udziału Lazarusa, choć przyznał, że atrybucja pozostaje niepotwierdzona. „Jest tu wiele dowodów na powiązania z Lazarusem" – powiedział, dodając, że żadna niezależna firma kryminalistyczna definitywnie tego nie udowodniła.

W momencie publikacji Cardano (ADA) było notowane po 0,2504 dolarów.