Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Violação KelpDAO de US$ 294 milhões gera debate – A segurança do verificador único é muito arriscada?
O recente incidente KelpDAO começou na camada de infraestrutura, não nos contratos inteligentes, o que permitiu contornar as verificações de segurança esperadas. Os invasores visaram o sistema de mensagens que verifica as transferências entre cadeias, e não a própria lógica do contrato.
Eles sobrecarregaram nós RPC válidos e introduziram nós maliciosos, forçando o sistema a depender de entradas de dados manipuladas. De acordo com CamadaZeroo ataque funcionou porque o KelpDAO usou um único DVN, que removeu qualquer camada de verificação de backup.
Depois que o sistema confiou na mensagem falsa, ele liberou cerca de 116.500 rsETH, no valor de quase US$ 294 milhões, sem apoio. O processo foi concluído em minutos, ressaltando a rapidez com que essas falhas podem aumentar. Isto implica que os sistemas cross-chain enfrentam riscos estruturais, onde um design de validação fraco pode desencadear perdas rápidas e enfraquecer a confiança do mercado.
Violação de infraestrutura leva a falhas
O incidente em 18 de abril aponta para uma operação coordenada, provavelmente ligada à unidade TraderTraitor do Grupo Lazarus, visando a camada de dados do sistema. Em vez de atacar contratos inteligentes, o grupo concentrou-se nos nós RPC, que fornecem dados de transações à rede.
Esses nós alimentam o DVN, um sistema de verificação que verifica se as transferências entre cadeias são válidas. Ao obter o controle de alguns nós RPC, o invasor alterou os dados enviados para verificação, mantendo as respostas normais das ferramentas de monitoramento.
À medida que as salvaguardas permaneciam ativas, eles interromperam nós íntegros, o que forçou o sistema a depender de dados comprometidos. Isso permitiu que transações falsas fossem consideradas válidas.
Esta abordagem mostra que mesmo sistemas seguros podem falhar se as suas fontes de dados forem confiáveis sem verificações de backup suficientes.
O DeFi ainda pode contar com sistemas de verificador único?
O incidente KelpDAO mudou o debate de como o ataque aconteceu para se o próprio design do sistema permanece viável. A ponte dependia de um único verificador, o que reduzia custos e melhorava a velocidade, de modo que muitos protocolos adotaram configurações semelhantes. No entanto, esse projeto presumia que uma fonte confiável sempre agiria corretamente.
Quando essa suposição falhou, as perdas aumentaram rapidamente para quase 294 milhões de dólares, mostrando quão frágil era essa estrutura. Este resultado destaca que a eficiência veio às custas da resiliência, especialmente à medida que mais valor se movimenta entre as cadeias.
Analista Darkfost reforça esta mudança, observando que o LayerZero não suportará mais configurações unilaterais de 1/1 DVN, sinalizando um afastamento das configurações fracas. Isto implica que o DeFi pode agora priorizar a redundância, mesmo que isso aumente os custos e retarde a execução.
Resumo Final
- A violação do KelpDAO mostra como um projeto de verificador único permitiu uma perda de US$ 294 milhões, expondo lacunas estruturais de segurança em sistemas de validação entre cadeias.
- O incidente empurra o DeFi em direção à segurança de vários verificadores, já que a dependência de pontos de confiança únicos aumenta o risco sistêmico e prejudica a confiança.
