Isang pag-atake na halos $292 milyon noong linggo ay nagdulot ng pagkabigla sa industriya ng cryptocurrency, na nagpapakita ng mga kahinaan sa infrastruktura ng decentralized finance (DeFi) at nagpapalakas ng mga alalahanin tungkol sa mga epekto sa iba pang mga protocol ng pagpapautang.
Habang patuloy pa ang mga imbestigasyon, ang maagang pagsusuri ay nagmumungkahi na ang pag-atake ay nakatuon sa rsETH token ng Kelp — isang yield-bearing na bersyon ng ether (ETH) — at sa mekanismo na ginamit upang ilipat ang mga ari-arian sa pagitan ng blockchain.
Ang attacker ay tila nag-manipula ng sistemang iyon upang lumikha ng malalaking amount ng mga token nang walang sapat na suporta, at agad itong ginamit bilang collateral upang mag-borrow at mabawasan ang mga totoy assets mula sa mga lending market, lalo na mula sa Aave AAVE$90.11, ang pinakamalaking decentralized crypto lender.
Ang insidente ay ang pinakabagong pagbagsak sa DeFi, na nangyari ilang linggo lamang pagkatapos ng pag-exploit ng $285 milyon sa Solana-based na protokolo na Drift, na karagdagang nagpapababa ng tiwala ng mga investor sa halos $90 bilyong sektor ng cryptocurrency.
Sa mataas na antas, ang pag-eksplota ay tumarget sa isang LayerZero bridge component—isang bahagi ng imprastruktura na nagpapahintulot sa mga asset na lumipat sa iba’t ibang blockchain, ayon kay Charles Guillemet, CTO ng hardware wallet maker na Ledger, sa isang tala sa CoinDesk.
Karaniwang gumagana ang mga tulay sa pamamagitan ng pag-lock ng mga ari-arian sa isang chain at pag-mint ng katumbas na mga token sa iba. Ang prosesong ito ay nakadepende sa isang tiwalaan na entidad — karaniwang tinatawag na oracle o validator — upang kumpirmahin ang mga pag-deposit.
Sa kasong ito, ang Kelp ay nag-act nang epektibo bilang verifier. Ayon kay Guillemet, ang sistema ay nakabatay sa isang single-signer setup, kung saan isang entidad lamang ang makapag-approve ng anumang transaksyon.
“Mukhang nakakapag-sign ang attacker ng isang mensahe … na nagbigay-daan sa kanya na mint ng malaking amount ng rsETH,” ayon sa kanya. Dagdag pa niya na hindi pa malinaw kung paano natanggap ang akses na iyon.
Si Michael Egorov, tagapagtatag ng Curve Finance, inilahad ang parehong kahinaan sa konfigurasyon ng sistema.
Maaaring mangyari ang mga bagay kapag pinagkakatiwalaan mo ang isang tanging partido — anuman ang mangyari.
Nagbigay ang ganitong pag-setup sa attacker ng epektibong paglikha ng mga token na walang suporta, bagaman walang katumbas na yaman ang nakalock sa source chain.
Agad na isinampa ang mga token pagkatapos maging minted. “Agad niyang isinampa ang mga ito sa mga lending protocol, pangunahin ang Aave upang mag-borrow ng totoong ETH bilang collateral,” ayon kay Guillemet.
Ang paggalaw na iyon ay naglipat ng problema mula sa isang solong exploit patungo sa mas malawak na isyu sa merkado. Ang mga platform ng DeFi lending ay ngayon ay naiiwan na may collateral na maaaring mahirap i-unwind, habang ang mga halagang at likwidong asset ay nangunguna nang nangalap na.
Ang Aave ay natirang may rsETH na hindi talaga mabibili at maxborrowed [sic] ETH, kaya walang makakapag-withdraw ng ETH," ayon kay Egorov ng Curve.
Bilang resulta, ang Aave at iba pang lending protocols ay maaaring nakatira sa mga daan-daang milyon dolyar na kwalipikadong collateral at masamang utang, babala niya, na nagpapalala sa mga alalahanin tungkol sa posibleng dinamikong "bank run" habang ang mga user ay tumatakbo para mag-withdraw ng kanilang pera.
Kumitla ng halos $6 bilyon ang mga asset sa protocol ng Aave habang tinanggal ng mga user ang kanilang mga asset pagkatapos ng insidente. Bumaba ang token na kaakibat ng protocol ng halos 15% sa nakaraang 24 oras ng pagtinda.
Kumakalat pa rin ang mga pangunahing tanong tungkol sa paraan kung paano na-compromise ang validator. Ang sistema ay nakabatay sa opisyal na node ng LayerZero, na nagtataglay ng pag-aalinlangan kung ito ay na-hack, mali ang konpigurasyon, o nalito.
"Nakuhang ba ito? Nakakamali ba ito? Hindi namin alam," sabi ni Egorov.
Ang pagkakakilanlan ng attacker ay hindi rin alam, bagaman sinabi ni Guillemet na ang laki ng pag-atake ay nagmumungkahi ng isang kumplikadong actor.
"Hindi talaga mga script kiddies," sabi niya.
Sa labas ng mga pansamantalang pagkawala, ang pag-atake ay isang paalala na habang lumalaki ang DeFi at naging mas magkakasalungat, ang pagkabigo sa isang layer ay maaaring mabilis na magdulot ng malawakang epekto sa buong sistema.
Ipinagtanggol ni Egorov ang mga modelo ng pagpapautang na hindi hiwalay, kung saan ang mga ari-arian ay nagbabahagi ng panganib sa mga pool, at nagpapalakas ng epekto ng ganitong mga pangyayari.
Kumilala rin siya sa mga kakulangan sa paraan ng pagdadala ng mga bagong asset sa mga platform ng pagpapautang, sinabi niya na ang mga konfigurasyon tulad ng 1-of-1 verifier setup ni Kelp ay dapat na ma-flag nang mas maaga.
Gayunpaman, sinabi ni Egorov na mayroong maliit na pag-asa. "Ang crypto ay isang mahigpit na kapaligiran na hindi sasaklawin ng anumang bangko — ngunit kami ay nagtatrabaho dito," sabi niya. "Naniniwala ako na matututunan ng DeFi ang insidente na ito at magiging mas malakas kaysa dati."
Gayunpaman, kahit na ang ganitong mga insidente ay nagdudulot ng pag-upgrade at pag-redesign ng protocol, patuloy din itong pagsisira sa tiwala ng mga investor sa mas malawak na sektor ng DeFi.
"Sa kabuuan, ang tiwala sa mga protokolo ng DeFi ay nababawasan dahil sa ganitong uri ng pangyayari," sabi ni Guillemet.
"At 2026 ay malamang ang pinakamasamang taon sa terms ng mga hack, muli," dagdag niya.