سوءاستفاده 292 میلیون دلاری از Kelp DAO موجی از واکنشها را در سراسر صنعت کریپتو به راه انداخته است، در حالی که توسعهدهندگان و معاملهگران هشدار میدهند که این حادثه نقصهای عمیقتری را در نحوه ساخت امور مالی غیر متمرکز با نام اختصاری دیفای (DeFi) آشکار کرده است.
دادههای به اشتراک گذاشته شده توسط شرکتکنندگان بازار نشان میدهد که پیامدهای فوری بسیار فراتر از پروتکل هک شده گسترش یافته است.
"هک rsETH منجر به برداشتها در تمام پروتکلهای وامدهی شده است، حتی در سولانا و پروتکلهای تحت تأثیر قرار نگرفته،" 0xngmi در یک پست روز یکشنبه گفت و به خروجیهای شدید اشاره کرد از جمله "Aave: 6,200- میلیون (23-٪) ورودی خالص" و کاهشهای کوچکتر اما قابل توجه در Morpho، Sky و JupLend. rsETH اتریوم استیکینگ مجدد شده پروتکل استیکینگ مجدد نقدینگی Kelp DAO است و یک توکن استیکینگ مجدد نقدینگی (LRT) است که به کاربران اجازه میدهد در حالی که داراییهای خود را نقد نگه میدارند، پاداشهای استیکینگ و استیکینگ مجدد اتریوم کسب کنند، حتی زمانی که در استیکینگ قفل شدهاند.
آن فشار به سرعت به چیزی شدیدتر تبدیل شد. یک پست گسترده منتشر شده توسط Josu San Martin فشار نقدینگی آبشاری را در داخل بازارهای وامدهی توصیف کرد: "سپردهگذاران ETH نمیتوانند ETH را برداشت کنند بنابراین آنها استیبلکوینها را قرض میگیرند تا وجوه را 'برداشت' کنند... این یک اجرای کامل بر روی AAVE است."
در حالی که Stani Kulechov، بنیانگذار Aave، گفت که سوءاستفاده خارجی بوده و قراردادهای پروتکل به خطر نیفتادهاند، سپردهگذاران وحشت کردند. ارزش کل قفل شده (یا سپردهها) از 26.4 میلیارد دلار در 1403/01/29 به نزدیک 20 میلیارد دلار در ساعات صبح یکشنبه در ایالات متحده کاهش یافت، طبق DefiLlama. توکن AAVE نیز بیش از 18٪ کاهش یافت زیرا سپردهگذاران در طول آخر هفته برای برداشت پول خود تلاش میکردند.
قیمت توکن Aave (CoinDesk)یک 'مطالعه موردی'
خود سوءاستفاده به نقطه کانونی برای مهندسان و توسعهدهندگان تبدیل شده است.
چندین توسعهدهنده فرضیات اولیه را که مسئله از زیرساخت اصلی ناشی شده است، رد کردند. "سوءاستفاده KelpDAO (حدود 290 میلیون دلار) یک باگ پروتکل LayerZero نیست. این یک مشکل پیکربندی است و یک مطالعه موردی که هر پروژه با یک توکن فناوری میان زنجیره ای امروز باید به آن نگاه کند،" یک تحلیل فنی توسط cryptogoblin خوانده شد.
رشته جزئیات داد که چگونه یک نقطه تاییدیه واحد حمله را امکانپذیر کرد. "یک امضا و 116,500 rsETH از هیچ در اتریوم ظاهر شد،" پست گفت و سیستمی را توصیف کرد که "قراردادهای [هوشمند] شکسته نشدند. لایه تاییدیه شکست،" پست ادعا کرد.
دیگران استدلال کردند که مشکل عمیقتر از یک انتخاب تنظیم واحد است.
یک انتقاد، که با نام Fishy Catfish در X شناخته میشود، آن را به عنوان یک نقص طراحی قاببندی کرد و ادعا کرد که: "هیچ کف امنیتی وجود ندارد... یک پیکربندی میتواند یک 1/1 DVN باشد و DVN که شما انتخاب کردید میتواند یک گره واحد باشد که توسط یک نهاد واحد اجرا میشود." یک DVN (شبکه تأییدکننده غیرمتمرکز) در امور مالی غیر متمرکز با نام اختصاری دیفای، به ویژه در LayerZero V2، یک نهاد مستقل است که مسئول اعتبارسنجی و تأیید اصالت پیامهای ارسال شده در شبکههای بلاک چین مختلف است. اساساً، DVNها هشهای پیام بین یک زنجیره منبع و یک زنجیره مقصد را تأیید میکنند.
برای روشنتر کردن نکته، نویسنده یک مقایسه دنیای واقعی ارائه داد: "تصور کنید اگر یک سازنده ترن هوایی به پارکهای تفریحی اجازه دهد به صورت جداگانه تصمیم بگیرند که حداقل مشخصات امنیت چیست." اساساً، نویسنده به سادگی میگوید که انعطافپذیری بدون حفاظ میتواند ریسکهای پنهان ایجاد کند.
پست تا آنجا پیش رفت که ادعا کرد تنظیمات مشکل درون طراحی بود. "من شخصاً فکر میکنم این یک طراحی معیوب است. امنیت ماژولار یک فضای طراحی ارزشمند است، با این حال، دامنه امنیت باید یک کف امنیت بومی داشته باشد که کاملاً قوی باشد، و سپس لایهبندی امنیت *اضافی* در بالای آن را برای موارد استفاده با ارزش بالاتر امکانپذیر کند."
'دیفای مرده است'
این فقط مقدار و پیچیدگی سوءاستفاده نیست که انتقادهای شدید و وحشتزده را جلب کرد. مقیاس سوءاستفاده نگرانیها را افزایش داده است.
تقریباً 116,500 rsETH، حدود 18٪ از عرضه، تحت تأثیر قرار گرفت. مهاجم لایه پیامرسانی فناوری میان زنجیره ای LayerZero را فریب داد تا باور کند که یک دستورالعمل معتبر از شبکه دیگری رسیده است، که باعث شد پل Kelp 116,500 rsETH را به یک آدرس تحت کنترل مهاجم آزاد کند.
پروتکلها با انجماد بازارها و توقف ویژگیها پاسخ دادند. Aave فعالیت rsETH را متوقف کرد. Lido سپردههای مرتبط با دارایی را متوقف کرد. پروژههای دیگر اقدامات مشابهی برای محدود کردن قرار گرفتن در معرض انجام دادند همانطور که وضعیت آشکار میشد.
فراتر از بحث فنی، احساسات در سراسر کریپتو به شدت منفی شد. یک پست شاید تغییر حالت و هوا را با عبارات صریح به تصویر کشید: "دیفای مرده است... 'فقط از aave استفاده کنید' مرده است،" در حالی که اضافه کرد "عصر کریپتو تمام شده است" و پرسید، "اگر در حال خواندن این هستید - چرا هنوز در کریپتو هستید؟"
در حالی که پاسخ ممکن است مانند واکنش بیش از حد به نظر برسد، آن نوع واکنش 'زانویی' بعد از سوءاستفادههای بزرگ غیرعادی نیست، اما وسعت این رویداد برجسته است.
حمله بر زیرساخت فناوری میان زنجیره ای، مدلهای استیکینگ مجدد و بازارهای وامدهی به طور همزمان تأثیر گذاشت. همچنین به دنبال یک سری از حوادث اخیر است. این هک در یک بازه زمانی غیرعادی خصمانه برای امور مالی غیر متمرکز با نام اختصاری دیفای قرار میگیرد، به ویژه این ماه. پروتکل معاملات دائمی مبتنی بر سولانا Drift در حدود 285 میلیون دلار در 1403/01/12 در یک حمله که بعداً به بازیگران وابسته به کره شمالی مرتبط شد، تخلیه شد و حداقل دوجین پروتکل کوچکتر در هفتههای بعد مورد سوءاستفاده قرار گرفتهاند، از جمله CoW Swap، Zerion، Rhea Finance و Silo Finance.
'پیکربندیهای خود را بررسی کنید'
با وجود همه توضیحات، هنوز سؤالات بیشتری نسبت به پاسخها وجود دارد.
حتی LayerZero هنوز در تلاش است تا جزئیات کامل سوءاستفاده را پیدا کند. "ما کاملاً از سوءاستفاده rsETH آگاه هستیم و از زمان حادثه در اصلاح فعال با تیم @KelpDAO بودهایم و به نظارت ادامه میدهیم. همه برنامههای دیگر امن باقی میمانند،" در یک پست در X گفت. "ما هنوز در حال شناسایی علت اصلی در کنار @_SEAL_Org و دیگران هستیم. ما به محض داشتن همه اطلاعات یک تشریح کامل پس از مرگ را با @KelpDAO منتشر خواهیم کرد."
KelpDAO این احساس را منعکس کرد. "امروز زودتر ما فعالیت فناوری میان زنجیره ای مشکوکی را شامل rsETH شناسایی کردیم. ما قراردادهای rsETH را در سراسر mainnet و چندین L2 در حالی که تحقیق میکنیم، متوقف کردهایم. ما با @LayerZero_Core، @unichain، حسابرسان ما و کارشناسان برتر امنیت در RCA کار میکنیم. ما شما را در جریان قرار خواهیم داد همانطور که در مورد این وضعیت بیشتر میآموزیم."
با این حال، برخی از توسعهدهندگان درس روشنتری را در هرج و مرج میبینند.
سوءاستفاده به شکستن رمزگذاری یا دور زدن قراردادهای هوشمند متکی نبود. در عوض، آشکار کرد که چگونه سیستمها میتوانند شکننده شوند وقتی به فرضیات لایهای وابسته هستند.
به عبارت ساده، ابزارها طبق طراحی کار کردند. نحوه پیکربندی آنها این کار را نکرد.
آن تمایز ممکن است آنچه را که در آینده خواهد آمد شکل دهد. سازندگان اکنون پروژهها را ترغیب میکنند تا تنظیمات خود را بررسی کنند، به ویژه کسانی که به پیامرسانی فناوری میان زنجیره ای متکی هستند.
همانطور که cryptogoblin به صراحت گفت: "پیکربندیهای خود را بررسی کنید. در آنجا ایمن بمانید."
بیشتر بخوانید: بازدهی امور مالی غیر متمرکز با نام اختصاری دیفای آنقدر سخت در حال سقوط است که نمیتوانند با یک حساب پسانداز سنتی رقابت کنند
منبع: https://www.coindesk.com/news-analysis/2026/04/19/defi-is-dead-crypto-community-scrambles-after-usd292-million-hack-exposes-cross-chain-risks
