Взлом KelpDAO выявляет слабые места в безопасности Web3

Взлом KelpDAO показал несколько уязвимых линий в безопасности Web3.
Самая большая проблема заключалась в том, что блокчейны безупречно выполняли транзакции, основанные на ошибочных данных.

Безопасность Web3 всё ещё находится в центре внимания как способ восстановить доверие к протоколам DeFi.
Взлом KelpDAO имел долгосрочные последствия для кредитования в DeFi и поднял вопросы о повышении уровня безопасности Web3.

Взломы в DeFi достигли годового максимума в апреле, что вызвало обсуждение рисков Web3 и способов лучше предотвращать взломы. | Источник: DeFiLlama.

Недавняя волна взломов в апреле может заставить приложения пересмотреть способы доступа к данным и разрешения транзакций.
Аналогичные взломы продолжились в мае, при этом $930K был потерян в этом месяце на сегодняшний день.
Недавно протокол Bisq потерял $858K из-за ошибочной логики протокола и атаки поддельного клиента, согласно данным DeFiLlama.

Приложения Web3 сталкиваются с проблемой проверки данных

По словам Виктора Фей из Ormilabs, взлом KelpDAO — яркий пример того, как приложение может продолжать работать, даже если состояние блокчейна не соответствует данным.

Фей объяснил, что приложения не всегда обращаются напрямую к блокчейну. Вместо этого они полагаются на посредников, таких как RPC-узлы, а не на сырые данные на цепочке.
Это требование для Ethereum и других старых цепочек, которые уже не подходят для прямого доступа большинством приложений.

При ограниченном источнике данных мост может полагаться только на небольшой набор RPC-узлов.
Когда некоторые источники скомпрометированы или недоступны, приложение может работать на неправильных данных, в то время как основная цепочка всё равно считает транзакции действительными.

Большинство современных приложений Web3 не обращаются напрямую к цепочке, а используют различные формы индексирования для получения релевантной информации.
Индексирование может отображать ошибочные данные или стать прямой точкой атаки.

Эксплойт KelpDAO полностью выявил эту уязвимость.
Процесс проверки доверял ограниченному числу RPC-источников, и злоумышленники захватили некоторые из них.
С ошибочным уровнем данных блокчейн обработал транзакции как обычно и потратил реальные монеты в обмен на фальшивый баланс.

Проблема становится ещё более серьёзной, если агенты ИИ могут действовать на основе ограниченного и потенциально ошибочного слоя данных.

Что может повысить безопасность Web3?

Самая большая уязвимость в KelpDAO, Drift Protocol и других недавних взломах — скорость выполнения.
Большинство транзакций происходили мгновенно и были подтверждены в следующем блоке, без периода охлаждения или дополнительных проверок.
Web3 рекламирует свою способность к быстрым безразрешительным транзакциям, но это также позволяет злоумышленникам быстро осуществлять свои атаки.

«Будущее безопасности Web3 сводится к скорости. Наши данные показывают, что взломы и отмывание денег происходят быстро и дешево, в то время как реакция команд — медленная и дорогая», — прокомментировал Владислав Сиротин, руководитель расследований в Global Ledger, для Cryptopolitan.

Сиротин считает, что проекты Web3 должны сократить время обнаружения, чтобы ловить необычные утечки, внезапные падения ликвидности или подозрительные вызовы смарт-контрактов.

По его словам, оповещения и блокировки должны быть автоматизированы в течение одной секунды после атаки, а отчёты жертв и маркировка данных — готовы в течение 10 минут.
В настоящее время для подсчёта общих потерь и поиска группировок злоумышленников требуется часы или дни.

Сиротин добавил, что даже более медленный режим — с оповещениями за 30 секунд и маркировкой за четыре часа — может помочь предотвратить около половины инцидентов и снизить потери.

Не ограничивайтесь только чтением новостей о криптовалютах. Понимайте их. Подписывайтесь на нашу рассылку. Это бесплатно.