بحران ۲۰۰ میلیون دلاری آوه؛ درسهای امنیتی دیفای پس از خسارت ۱۶.۵ میلیارد دلاری
بخش امور مالی غیرمتمرکز (DeFi) در ماه آوریل با چالشهای بیسابقهای روبرو شد. نفوذ به زیرساختهای KelpDAO و پل بلاک چین rsETH منجر به ایجاد ۲۰۰ میلیون دلار بدهی معوق در پروتکل آوه (Aave) شد. این حادثه در حالی رخ داد که هکرها با استفاده از نقص در تنظیمات امنیتی، موفق به تزریق دادههای جعلی و استخراج دارایی شدند.
طبق گزارشها، مجموع خسارات ناشی از هک در تاریخ دیفای اکنون به ۱۶.۵ میلیارد دلار رسیده است که ۷.۷ میلیارد دلار آن مستقیماً این بخش را هدف قرار داده است. جزئیات این حمله نشان میدهد که مهاجمان با کنترل گرههای سمی و سوءاستفاده از پیکربندی «۱-از-۱» در تاییدکنندههای پل، موفق به ضرب غیرقانونی ۱۱۶,۵۰۰ واحد rsETH شدند.
سپس این داراییهای جعلی را بهعنوان وثیقه در پلتفرم آوه قرار داده و ارزهای دیگر را وام گرفتند. میچل آمادور (Mitchell Amador)، مدیرعامل ایمیونیفای (Immunefi) در گفتگو با کریپتو اسلیت (CryptoSlate) گفت:
این حادثه شکاف عمیقی را میان پروتکلهای مختلف نشان داد. در حالی که آوه نسبت وام به ارزش (LTV) را برای rsETH به ۹۳٪ افزایش داده بود، پلتفرم اسپارک لند (SparkLend) در همان روز این دارایی را از فهرست خود حذف کرد.
این تصمیم محافظهکارانه باعث شد کاربران اسپارک لند از سرایت بدهیهای معوق در امان بمانند. کارشناسان معتقدند این تضاد منافع در حاکمیت دائو و وابستگی به ارائهدهندگان خدمات ریسک، منجر به چنین شکستهایی میشود.
فشار ناشی از هکهای متوالی، موسسات مالی را به سمت بازارهای دارای مجوز و منزوی سوق داده است. آمادور معتقد است که استاندارد جدید باید بر پایه فرض شکست در هر لایه (پل، حاکمیت یا اوراکل) بنا شود تا از سرایت خرابی به کل بازار جلوگیری گردد. بن نادارِسکی (Ben Nadareski)، مدیرعامل سولستیس فایننس (Solstice Finance) در اظهارات خود گفت:
در حال حاضر، تلاشها برای بازیابی داراییها از طریق شوراهای امنیتی و مکانیزمهای بازیابی در جریان است، اما آینده دیفای به پذیرش کنترلهایی بستگی دارد که زمانی در برابر آنها مقاومت میکرد.
