最近のKelpDAOのイベントは、スマートコントラクト内ではなくインフラ層で発生し、予想されたセキュリティチェックを回避しました。攻撃者は、契約ロジックそのものではなく、クロスチェーン振替を検証するメッセージングシステムを標的としました。
彼らは有効なRPCノードを圧倒し、悪意のあるノードを導入することで、システムが操作されたデータ入力に依存するよう強いた。LayerZeroによると、KelpDAOが単一のDVNを使用していたため、バックアップ検証レイヤーがなく、この攻撃が成功した。
システムが偽のメッセージを信頼した後、裏付けなしに約116,500 rsETH(価値は約2億9400万ドル)が解放されました。このプロセスは数分以内に完了し、このような不具合がいかに迅速に悪化するかを示しています。これは、クロスチェーンシステムが脆弱な検証設計によって急速な損失が発生し、市場の信頼が損なわれるという構造的リスクに直面していることを意味します。
インフラの侵害が失敗を引き起こす
4月18日のインシデントは、Lazarus GroupのTraderTraitorユニットに関連した、システムのデータ層を標的とした協調的な操作を示唆しています。このグループはスマートコントラクトを攻撃するのではなく、ネットワークにトランザクションデータを提供するRPCノードに焦点を当てました。
これらのノードは、クロスチェーン振替の有効性を確認する検証システムであるDVNにデータを提供します。攻撃者は一部のRPCノードを制御することで、監視ツールには通常の応答を返しつつ、検証に送信されるデータを改ざんしました。
安全対策が有効だったため、正常なノードが妨害され、システムは改ざんされたデータに依存せざるを得なくなりました。これにより、不正な取引が有効な取引として通過するようになりました。
このアプローチは、データソースに十分なバックアップチェックなしに信頼すると、セキュアなシステムでも失敗する可能性があることを示しています。
DeFiは依然として単一検証者システムに依存できるでしょうか?
KelpDAOの事象により、攻撃がどのように発生したかという議論は、システム設計自体が依然として有効であるかどうかという議論に移った。このブリッジは単一の検証者に依存しており、コストを削減し速度を向上させたため、多くのプロトコルが同様の設定を採用してきた。しかし、この設計は、信頼できる単一のソースが常に適切に動作すると仮定していた。
その仮定が崩れた後、損失は急速に約2億9400万ドルに達し、その構造がいかに脆弱であったかを示した。この結果は、より多くの価値がチェーン間を移動する中で、効率性が耐久性の犠牲を伴っていたことを浮き彫りにしている。
アナリストのDarkfostは強化し、LayerZeroが単一の1/1 DVN設定を今後サポートしなくなると指摘し、弱い構成からの移行を示唆しています。これは、コストが上昇し実行が遅くなる可能性があっても、DeFiが冗長性を優先するようになることを意味します。
最終サマリー
- KelpDAOのセキュリティ侵害は、単一検証者設計が2億9400万ドルの損失を招き、クロスチェーン検証システムの構造的セキュリティギャップを露呈したことを示している。
- この出来事は、単一の信頼ポイントへの依存がシステム全体のリスクを高め、信頼を損なうため、DeFiを複数の検証者セキュリティへと導いています。