46 دقیقه، 292 میلیون دلار دزدیده شده، DeFi دوباره با معضل توسعه مواجه است

نویسنده: گو یو، چین‌کچر

در ساعات اولیه 18 آوریل، تنها دو هفته پس از دزدی بیش از 200 میلیون دلار از Drift، Kelp DAO، یک پروتکل DeFi برای بازاستیکینگ تحت Kernel، دوباره رکوردی برای مقدار دزدیده شده در صنعت کریپتو در سال جاری ثبت کرده است: 116,000 rsETH به طور مخرب ضرب شده است، که ارزش آن تقریباً 292 میلیون دلار است.

گزارش شده است که Kelp DAO یک پروتکل بازاستیکینگ با سه بازده است که بر اساس EigenLayer عمل می‌کند. rsETH یک توکن بازاستیکینگ نقدینگی (LRT) است که توسط Kelp DAO صادر شده و برای تأمین نقدینگی برای دارایی‌های غیرنقدی که به پلتفرم‌های بازاستیکینگ (مانند EigenLayer) واریز می‌شوند، طراحی شده است.

تیم اصلی این پروتکل کاملاً از هند است. در سپتامبر 2024، این پروتکل 9 میلیون دلار تأمین مالی secured کرد و سرمایه‌گذاران معروفی از جمله Laser Digital، Bankless Ventures و Hypersphere Ventures در آن شرکت کردند. در حال حاضر، مجموع مبلغ قفل شده این پروتکل از 1.5 میلیارد دلار فراتر رفته است. در همان سال، شرکت مادر آن، Kernel نیز از Yzi Labs سرمایه‌گذاری دریافت کرد که ارتباط نزدیکی با Binance دارد.

با این حال، این پیشینه‌ها و دستاوردهای روزگاری افتخارآمیز در یک لحظه در این حادثه غم‌انگیز نابود شد.

تقلب مرگبار زنجیره‌ای و هزینه "امضای واحد"

بر اساس تحلیل‌های اولیه از سوابق زنجیره‌ای، این حمله یک حمله ورودی مجدد سنتی یا وام فوری نبود، بلکه یک حمله دقیق بر اساس جعل پیام‌های زنجیره‌ای بود.

دلیل اساسی در عدم انجام "تأیید منبع" دقیق پیام‌ها از پروتکل زنجیره‌ای زیرین توسط آداپتور پل rsETH Kelp DAO بین زنجیره‌ها نهفته است. هکر دستورالعمل‌های معتبر آزادسازی دارایی را جعل کرد و قرارداد پل Kelp را فریب داد تا به اشتباه باور کند که دارایی‌های معادل در زنجیره منبع قفل شده‌اند و بنابراین به طور پیش‌فرض دستورالعمل‌های هکر را اجرا کرد و 292 میلیون دلار rsETH را در شبکه اصلی اتریوم آزاد کرد.

حدود 46 دقیقه پس از وقوع حمله، تیم Kelp DAO یک مکانیزم توقف اضطراری را فعال کرد. اگرچه این اقدام موفق به متوقف کردن دو تلاش برداشت بعدی به مجموع 40,000 rsETH (تقریباً 100 میلیون دلار) شد، اما تقریباً 20% از عرضه در گردش rsETH (116,000 توکن) قبلاً به دست هکر افتاده بود.

سپس، هکر این rsETH را به عنوان وثیقه به Aave V3 واریز کرد و مقدار زیادی wETH با نقدینگی بالا قرض گرفت. به وضوح، هکر این دارایی را باز نخواهد گرداند و وثیقه rsETH از طریق ایجاد نادرست بدون دارایی‌های واقعی زیرساختی تولید شده است، که منجر به مواجهه Aave با حدود ۱۷۷ میلیون دلار بدهی بد خواهد شد، که احتمالاً بر عهده تمام سپرده‌گذاران Aave خواهد بود.

بزرگترین مشکل در این فرآیند به قرارداد پل LayerZero مربوط می‌شود. قرارداد بین زنجیره‌ای LayerZero که توسط Kelp DAO استفاده می‌شود به صورت ۱/۱ DVN پیکربندی شده است، که به عنوان یک پیکربندی "امضای واحد" شناخته می‌شود، جایی که یک اعتبارسنج واحد می‌تواند پیام‌های بین زنجیره‌ای را تأیید کند، در حالی که مستندات رسمی LayerZero به طور پیش‌فرض یک پیکربندی ۲/۲ را توصیه می‌کند.

پس از این حادثه، توکن LayerZero ZRO بیش از ۴۰٪ کاهش یافت، توکن AAVE Aave بیش از ۲۲٪ افت کرد و توکن Kernel مرتبط با Kelp DAO در حال حاضر بیش از ۱۳٪ کاهش یافته است. علاوه بر این، چندین پروژه، از جمله Solv، تعلیق پل‌سازی LayerZero OFT را اعلام کردند.

فروپاشی سیستماتیک "ساختار لگو" DeFi

قبل از این حادثه، Aave هرگز با مشکلات امنیتی مواجه نشده بود. اگرچه این حادثه ناشی از مشکلی در کد قرارداد خود نبود، اما هنوز به ارزیابی ریسک پروتکل و تنظیمات ایزوله‌سازی برای چنین توکن‌های LRT مربوط می‌شود. در ژانویه امسال، پروتکل Spark دارایی‌های کم‌استفاده‌ای مانند rsETH را از فهرست خارج کرد و به تنگ کردن وثیقه و عملکرد ادامه داد، که پروتکل را در طول این آشفتگی تحت تأثیر قرار نداد.

در حال حاضر، مجموع مقدار قفل شده Aave به سرعت از ۲۶.۳۹ میلیارد دلار دیروز به ۲۱.۷۶ میلیارد دلار کاهش یافته است، با مقدار برداشت یک روزه به ۴.۶ میلیارد دلار رسید. در همین حال، بسیاری از کاربران وام‌دهی به پروتکل‌های وام‌دهی دیگر روی آورده‌اند، با تقاضای بالا برای وام‌دهی ETH در بازار، که باعث شده نرخ سپرده استخر ETH Spark به سرعت از ۱.۷٪ به ۵٪ افزایش یابد.

در پاسخ به این حادثه، بنیان‌گذار Curve، مایکل اگوروف، اظهار داشت که این رویداد خطرات ناشی از مدل وام‌دهی "غیر ایزوله" که به طور گسترده‌ای پذیرفته شده است را برجسته می‌کند. این مدل مقیاس‌پذیری خوبی دارد اما خطرات بالاتری نیز دارد، که مدیریت ریسک را حیاتی می‌سازد. یک رویکرد این است که مدلی کاملاً ایزوله مانند بازار Curve Finance را اتخاذ کنیم، در حالی که رویکرد دیگر استفاده از یک مدل ترکیبی (پیچیده اما قابل اجرا) است. با این حال، بازار هنوز به طور کامل مزایای این راه‌حل‌ها را درک نکرده است. مدل Hub و Spoke Aave v4 ممکن است یک گام به سمت یک جهت نیمه ایزوله و ایمن‌تر باشد.

در حال حاضر، بیشتر پروتکل‌های وام‌دهی اصلی از مدل استخر نقدینگی مشترک استفاده می‌کنند، جایی که تقریباً تمام دارایی‌های وام‌دهی نقدینگی و ریسک را به اشتراک می‌گذارند، مانند Aave، Compound و Spark. فقط چند پروتکل وام‌دهی مانند Morpho، Kamino و Euler از مدل استخر وام‌دهی ایزوله استفاده می‌کنند. این اساساً یک معامله بین کارایی سرمایه و امنیت است.

در نسخه V4 که Aave در پایان مارس امسال راه‌اندازی کرد، مفاهیم Hub و Spoke معرفی شدند. هاب (مرکزی / هاب نقدینگی) هاب نقدینگی مرکزی است که مسئول نگهداری تمام دارایی‌ها و حسابداری جهانی می‌باشد. اسپوک (تابش) یک نقطه ورودی مدولار برای تعامل مستقیم کاربر است که مسئول قوانین خاص و کنترل ریسک وام‌دهی می‌باشد.

هر اسپوک عملکردهای خاص وام‌دهی (تأمین، قرض، بازپرداخت، برداشت) را ارائه می‌دهد و دارای پارامترهای ریسک مستقل است: انواع مختلف وثیقه، قوانین تصفیه، مدل‌های نرخ بهره، حالت E، حالت ایزوله، پشتیبانی RWA و غیره.

این بدان معناست که آوه قادر خواهد بود تصمیم بگیرد که آیا بر اساس شرایط خاص دارایی‌های مختلف با ریسک‌ها و ویژگی‌های متفاوت، استخرهای دارایی وام‌دهی کاملاً ایزوله را تأسیس کند و بدین ترتیب ریسک‌های سیستماتیک ناشی از دارایی‌های منفرد را کنترل کند.

علاوه بر این، بازیگر معروف دیفای بنمو پنج نکته زیر را در مورد این حادثه مطرح کرده است:

اول، امنیت دارایی‌های بسته‌بندی شده مانند LRT قابل مقایسه با دارایی‌های بومی نیست؛ پلتفرم‌های وام‌دهی نمی‌توانند این دو نوع وثیقه را به یک اندازه در نظر بگیرند.

دوم، L0 در آینده بخشی از بازار زنجیره‌ای را از دست خواهد داد؛ دارایی‌های متعددی مانند usde و usd0 قبلاً L0 زنجیره‌ای را متوقف کرده‌اند و حتی اگر کسب و کار از سر گرفته شود، اعتبار اولیه ممکن است به سختی بازگردد.

سوم، شهرت AAVE آسیب دیده است؛ ایمنی بازار وام‌دهی یکپارچه دوباره به مرحله بررسی نهنگ‌ها وارد شده است و هر دارایی وثیقه اضافی به طور مساوی ریسک دارایی‌های وثیقه اصلی را افزایش می‌دهد که به طور ذاتی برای دارایی‌های بومی ناعادلانه است. V4 و مدولارization روندهایی در توسعه محصولات وام‌دهی هستند و این فرآیند انتقال احتمالاً تسریع خواهد شد. انتخاب کسب و کار وام‌دهی به جای پلتفرم‌های وام‌دهی یا ناظران، اما هزینه این کسب و کار در حال افزایش است.

چهارم، هزینه به دست آوردن TVL در L2 بیشتر خواهد شد و سطح فعلی TVL بیشتر به L1 بازخواهد گشت.

پنجم، دیفای مسیر گسترش خود را متوقف خواهد کرد و به حالت محافظه‌کار و ایمن بازخواهد گشت و از اسکن‌های بیشتر توسط افسانه‌های انسان‌محور جلوگیری خواهد کرد.

از Drift تا Kelp DAO، دو حادثه امنیتی مهم در یک دوره کوتاه نشان می‌دهد که ساختار مالی "تودرتو" دیفای به این معناست که هر فروپاشی سیستماتیک در یک لینک می‌تواند به سرعت به یک بحران نقدینگی در کل صنعت تبدیل شود. در گذشته، این دیدگاه عمدتاً در نظریه وجود داشت و تأثیرات بیشتر حوادث امنیتی محدود به پروتکل‌های فردی باقی می‌ماند، اما اکنون این پدیده به شکلی غم‌انگیز رخ داده است.

این نه تنها یک قضاوت در مورد پروتکل‌های زنجیره‌ای و پروتکل‌های وام‌دهی است بلکه یک ضربه شدید به اعتماد کاربران نیز می‌باشد.

"من دیگر در هیچ دیفای شرکت نمی‌کنم، فقط ETH بومی را نگه می‌دارم، در هیچ استیکینگ یا سپرده‌گذاری شرکت نمی‌کنم و به دنبال کمی بهره نیستم،" گفت KOL معروف لاولو.

"بیایید اول از دیفای خارج شویم؛ این خیلی خطرناک است." این بار آسیب بسیار بیشتر از Drift/Cowswap است..." گفت سرمایه‌گذار معروف دیفای داوی وانگ و نظر مشابهی را ابراز کرد.