Я только что прочитал довольно интересный анализ от почетного CTO Ripple о том, что произошло с Kelp DAO. Давид Швартц затронул вопрос, который многие в сообществе недостаточно учитывают.

Основная проблема не просто в наличии уязвимости в коде, а в чем-то более глубоком: большинство мостов DeFi оснащены довольно надежными механизмами безопасности, но оказывается, что никто их не использует. Звучит странно, но это правда. Разработчики этих мостов часто советуют не активировать самые надежные уровни защиты, потому что это усложняет работу.

В конкретном случае Kelp DAO атака произошла три дня назад, в результате которой было выведено примерно 116 500 rsETH через мост rsETH. Анализ в блокчейне показал, что все началось с утечки приватного ключа, которая позволила злоумышленнику манипулировать системой. Именно здесь CTO Ripple делает свой ключевой вывод: вероятно, Kelp DAO выбрала минимальную конфигурацию безопасности, отказавшись от критических функций LayerZero, которые могли бы предотвратить все это.

Цифры впечатляют: просто исчезло 292 миллиона долларов. Но меня по-настоящему поразило то, что CTO отмечает — это было предотвратимо. Ирония в том, что системы созданы для безопасности, но удобство и операционная сложность в конечном итоге побеждают.

Это напоминание о том, что в DeFi иногда риск исходит не из-за недостатков дизайна, а из-за операционных решений, которые ставят удобство выше безопасности. Стоит иметь в виду это, оценивая любой протокол.