Новости ГайдыАналитика Дайджест месяца Подкасты
Курсы Спецпроекты RU
Крипто · Блокчейн · Цифровая экономика · ИИ
Telegram →
BTC$80,743-0.50%
ETH$2,286-2.08%
BNB$663+1.10%
XRP$1.45-0.47%
SOL$94.89-0.23%
Все курсы →
Новости DeFi Новости Ethereum Новости крипторынка

Кризис rsETH: как DeFi столкнулся с необходимостью контроля

А
Аналитик
1 мин 6 просм.
Кризис rsETH: как DeFi столкнулся с необходимостью контроля

Кризис, связанный с rsETH, привел к образованию плохого долга в размере 200 миллионов долларов на счетах Aave, несмотря на то, что ни одна строка его контрактов не нарушала правила. 18 апреля злоумышленники, которых Chainalysis предварительно связал с группировкой Lazarus, скомпрометировали инфраструктуру RPC, что привело к принудительному переключению на отравленные узлы через DDoS-атаку и инъекции ложных данных в конфигурацию 1-на-1 DVN на мосту rsETH KelpDAO. Подделанное сообщение выпустило около 116 500 rsETH, и отчет о происшествии Aave подтвердил, что Ethereum принял nonce 308, в то время как исходная конечная точка Unichain никогда не продвигалась дальше 307. Злоумышленник предоставил скомпрометированный rsETH Aave и занял против него средства, что привело к образованию плохого долга и служит примером текущего состояния безопасности в DeFi.

Увеличение потерь в DeFi

В апреле злоумышленники извлекли более 635 миллионов долларов в результате 28 инцидентов, что стало худшим ежемесячным итогом за более чем год. По данным DefiLlama, совокупные исторические потери от взломов составили 16,5 миллиарда долларов, из которых 7,7 миллиарда долларов были нацелены непосредственно на DeFi. Высокопрофильные взломы на Drift и мосту KelpDAO привели к тому, что DeFi потерял почти 11 миллиардов долларов в общей заблокированной стоимости в прошлом месяце. Это сокращение произошло на фоне того, что стейблкоины, токенизированные казначейства и регулируемые слои расчетов начали набирать популярность в тех же капитальных рынках.

Причины кризиса в DeFi

Как DeFi оказался в такой ситуации? Митчелл Амадор, генеральный директор Immunefi, сообщил CryptoSlate, что DeFi исторически вознаграждал рост, интеграции, ликвидность и скорость, а не зрелость безопасности. Протокол, который добавляет новый актив, мост, оракул, адаптер или внешнюю зависимость, получает немедленную полезность. Риск, связанный с интеграцией, не производит видимого ценового сигнала, пока не произойдет взлом, потому что отсутствие инцидента невидимо, пока он сохраняется. Эта асимметрия удерживала циклы аудита и практики изоляции на второстепенном уровне по сравнению с скоростью доставки в течение многих лет, пока апрель не сосредоточил последствия в одном месяце.

Недостатки управления и безопасности

Амадор отметил, что наиболее упускаемыми из виду практиками были гигиена и управление мультиподписями, укрепление цепочки поставок, мониторинг в реальном времени и процедуры экстренного реагирования. Слишком многие команды рассматривали мультиподпись как решение безопасности само по себе, в то время как ее реальная сила зависит от количества подписантов, независимости этих подписантов, их организационной структуры и процессов, связанных с проверкой транзакций. Низкий порог мультиподписи, слабая безопасность подписантов или плохо контролируемый мост или оракул могут стать системной уязвимостью, поскольку протоколы DeFi по умолчанию являются композируемыми. В этом ландшафте риск перемещается через интеграции так же эффективно, как и ликвидность.

Изменения в DeFi и новые подходы

Пока эта культура формировалась внутри DeFi, параллельно строилась другая модель. Бен Надарески, генеральный директор Solstice Finance, оценил: «Разница в производительности на человека показывает, что происходит, когда вы убираете все, что не является основной финансовой функцией. Команды, которые выиграют в этот раз, будут теми, кто с самого начала строился на соблюдении норм и безопасности, готовыми работать быстрее, чем банк сможет созвать собрание». DeFi создал композируемые рельсы более полугода, прежде чем Уолл-стрит признала их фактическим инфраструктурным слоем следующей финансовой системы. Стоимость этой ранней рыночной позиции заключалась в культуре безопасности, откалиброванной на скорость, а не на операционную дисциплину.

Восстановление и будущее DeFi

Каспер Павловский, технический директор Euler Finance, в своем анализе после инцидента назвал управленческое измерение той же неудачи. Он отметил: «DeFi рассматривает оценку рисков как одноразовое решение при вводе в эксплуатацию, тогда как на самом деле риск является динамическим». Конфигурация 1-на-1 DVN, которая позволила взлому KelpDAO, существовала в производстве в течение многих лет. Kelp утверждает, что это была стандартная версия LayerZero, которая была выпущена и рассмотрена на нескольких интеграционных встречах, в то время как LayerZero утверждает, что Kelp вернулся к ней. Независимо от того, какая версия верна, конфигурация оставалась незамеченной через каждую интеграцию со всеми последующими протоколами. LayerZero с тех пор запретил эту конфигурацию на уровне протокола, признав, что позволение ее DVN действовать в качестве единственного проверяющего для высокозначительных транзакций было ошибкой.

Заключение

Кризис rsETH стал важным уроком для DeFi, который теперь вынужден пересмотреть свои подходы к безопасности и управлению рисками. С учетом того, что DeFi привлек внимание институциональных инвесторов, необходимо создать более строгие механизмы контроля и управления, чтобы предотвратить подобные инциденты в будущем. Важно, чтобы протоколы DeFi адаптировались к новым условиям и внедряли лучшие практики, чтобы обеспечить безопасность и доверие пользователей. В противном случае DeFi рискует потерять свою конкурентоспособность на фоне растущей регуляции и требований к безопасности со стороны традиционных финансовых институтов.

AAVE CryptoSlate DDoS DeFi DefiLlama DVN KelpDAO LayerZero RPC
Поделиться:
Telegram Twitter Facebook