Warum Cross-Chain Brücken nach dem 293 Mio. $ Kelp DAO Hack das schwächste Glied von DeFi sind

Krypto-Brücken stehen wieder im Rampenlicht – und nicht aus den richtigen Gründen.

Der 293-Millionen-Dollar-Exploit von Kelp DAO am Samstag hat die Sicherheit von Brücken in den Mittelpunkt der Krypto-Industrie gerückt, sagt Ari Redbord, globaler Leiter für Politik und Regierungsangelegenheiten bei TRM Labs.

„Wenn sich das Sicherheitsmodell eines 300-Millionen-Dollar-Emittenten auf den Signaturschlüssel eines einzigen Validators reduziert, hört die Angriffsfläche auf, technisch zu sein, und wird strukturell", schrieb er am Sonntag.

Die Analyse folgt auf einen Angreifer, der 116.500 rsETH – etwa 18 % des zirkulierenden Angebots des Tokens – abgezogen hat, indem er eine Funktion im Cross-Chain-Nachrichtensystem von LayerZero ausgelöst hat. Einfach ausgedrückt: Der Angreifer sendete eine gefälschte Nachricht, die Kelps Brücke mitteilte, dass Geld von einer anderen Blockchain angekommen sei. Die Brücke glaubte dem Signal und gab die Token frei.

Kelp DAO ist ein Liquid-Restaking-Protokoll, das auf Ethereum aufgebaut ist und es Benutzern ermöglicht, sowohl Standard-Staking-Belohnungen als auch zusätzliche Restaking-Erträge über EigenLayer zu verdienen.

Wenn Benutzer berechtigte Token einzahlen, erhalten sie rsETH, ein handelbares Asset, das auf DeFi-Plattformen verwendet werden kann, während die zugrunde liegenden Mittel weiterhin mehrere Netzwerke absichern. Tatsächlich ermöglicht die Struktur den Anlegern, ihr Kapital produktiv zu halten, ohne es zu sperren, wobei die Liquidität erhalten bleibt und geschichtete Renditen generiert werden.

Der Angriff kommt zu dem Verlust von 286 Millionen Dollar hinzu, den Drift erlitten hat am 01.04., wodurch die DeFi-Verluste dieses Monats auf über 550 Millionen Dollar steigen.

Wie funktionieren Brücken?

Eine Cross-Chain Brücke ist Software, die verschiedene Blockchains verbindet, wie Ethereum und Arbitrum.

Wenn Benutzer Token über Chains hinweg verschieben, sperrt die Brücke die ursprünglichen Token und erstellt entsprechende auf der neuen Chain. Dieser Prozess hängt von Validatoren ab – vertrauenswürdigen Computern, die bestätigen, ob eine Blockchain-Transaktion echt ist.

Die Brücke wurde getäuscht zu glauben, dass eine gefälschte Nachricht von einer anderen Blockchain echt war, also gab sie Token frei, die sie niemals hätte freigeben sollen. Da nur ein Validator konfiguriert war, um diese Nachrichten zu genehmigen, ermöglichte ein einziger Fehlerpunkt dem Angreifer, Hunderte von Millionen Dollar freizuschalten.

Kelps Setup soll sich Berichten zufolge auf ein 1/1 Dezentralisiertes Verifizierer-Netzwerk oder DVN verlassen haben. Das bedeutet, dass ein einziger Validator die Befugnis hatte, Cross-Chain-Nachrichten zu genehmigen. Sobald dieser Validator kompromittiert oder getäuscht wurde, vertraute das gesamte System einem gefälschten Signal.

Der „Explosionsradius" erstreckte sich über Kelp hinaus. Aave, SparkLend, Fluid und Upshift haben Märkte pausiert, die mit rsETH verbunden sind, sagte Redbord.

Allein Aave verzeichnete mehr als 5,4 Milliarden Dollar an Ether-Abhebungen, da Benutzer versuchten, ihr Risiko zu begrenzen, fügte er hinzu.

Zwei weitere Versuche, weitere 100 Millionen Dollar abzuziehen, wurden blockiert, nachdem Kelps Notfall-Multi-Unterschriften Wallet Verträge innerhalb von 46 Minuten eingefroren hatte.

„Die Antwort besteht darin, sich auf die Verteidigung zu konzentrieren: diverse Validator-Sets auf Messaging-Ebenen, Echtzeitüberwachung von Mint- und Burn-Strömen, schnell agierende Pauser-Multisigs und Cross-Protokoll-Playbooks, die von einer Ansteckung ausgehen", schrieb Redbord.

„Der April war ein harter Monat für DeFi-Entwickler."

Lance Datskoluo ist der in Europa ansässige Marktkorrespondent von DL News. Haben Sie einen Tipp? Senden Sie ihm eine E-Mail an lance@dlnews.com