Mengapa jembatan lintas-rantai adalah titik terlemah DeFi setelah peretasan Kelp DAO senilai $293 juta

Jembatan kripto kembali menjadi sorotan — dan bukan karena alasan yang tepat.

Eksploitasi Kelp DAO senilai $293 juta pada hari Sabtu telah mendorong keamanan jembatan ke puncak sorotan industri kripto, kata Ari Redbord, kepala kebijakan dan urusan pemerintahan global di TRM Labs.

"Ketika model keamanan penerbit senilai $300 juta berkurang menjadi kunci penandatanganan satu validator, permukaan serangan berhenti menjadi teknis dan menjadi struktural," tulisnya pada hari Minggu.

Analisis ini menyusul penyerang yang menguras 116.500 rsETH — sekitar 18% dari pasokan token yang beredar — dengan memicu fungsi pada sistem pesan lintas rantai LayerZero. Sederhananya, penyerang mengirim pesan palsu yang memberi tahu jembatan Kelp bahwa uang telah tiba dari blockchain lain. Jembatan mempercayai sinyal tersebut dan melepaskan token.

Kelp DAO adalah protokol restaking likuid yang dibangun di Ethereum yang memungkinkan pengguna mendapatkan hadiah staking standar dan hasil restaking tambahan melalui EigenLayer.

Ketika pengguna menyetor token yang memenuhi syarat, mereka menerima rsETH, aset yang dapat diperdagangkan yang dapat digunakan di platform DeFi sementara dana dasar terus mengamankan beberapa jaringan. Pada dasarnya, struktur ini memungkinkan investor menjaga modal mereka tetap produktif tanpa menguncinya, mempertahankan likuiditas sambil menghasilkan keuntungan berlapis.

Serangan ini menambah kerugian $286 juta yang dialami Drift pada 1 April, membawa kerugian DeFi bulan ini menjadi lebih dari $550 juta.

Bagaimana cara kerja jembatan?

Jembatan lintas rantai adalah perangkat lunak yang menghubungkan berbagai blockchain, seperti Ethereum dan Arbitrum.

Ketika pengguna memindahkan token melintasi rantai, jembatan mengunci token asli dan membuat token yang sesuai di rantai baru. Proses itu bergantung pada validator — komputer tepercaya yang mengonfirmasi apakah transaksi blockchain asli.

Jembatan ditipu untuk mempercayai pesan palsu dari blockchain lain adalah nyata, sehingga melepaskan token yang seharusnya tidak pernah dilepaskan. Karena hanya satu validator yang dikonfigurasi untuk menyetujui pesan tersebut, satu titik kegagalan memungkinkan penyerang membuka kunci ratusan juta dolar.

Pengaturan Kelp dilaporkan mengandalkan Decentralised Verifier Network 1/1, atau DVN. Itu berarti satu validator memiliki wewenang untuk menyetujui pesan lintas rantai. Setelah validator tersebut disusupi atau ditipu, seluruh sistem mempercayai sinyal palsu.

"Radius ledakan" meluas melampaui Kelp. Aave, SparkLend, Fluid, dan Upshift menghentikan pasar yang terkait dengan rsETH, kata Redbord.

Aave saja melihat lebih dari $5,4 miliar penarikan ether saat pengguna berupaya membatasi paparan, tambahnya.

Dua upaya tambahan untuk menguras $100 juta lainnya diblokir setelah dompet multisignature darurat Kelp membekukan kontrak dalam 46 menit.

"Jawabannya adalah bersandar pada pertahanan: kumpulan validator yang beragam pada lapisan pesan, pemantauan waktu nyata pada aliran mint dan burn, pauser multisig yang bertindak cepat, dan pedoman lintas protokol yang mengasumsikan penularan," tulis Redbord.

"April telah menjadi bulan yang berat bagi pembangun DeFi."

Lance Datskoluo adalah koresponden pasar DL News yang berbasis di Eropa. Punya informasi? Email dia di [email protected]