KelpDAO 攻擊暴露了 Web3 安全的薄弱環節

KelpDAO的黑客事件顯示了Web3安全的幾個裂縫。最大的问题在于区块链能够完美执行基于有缺陷数据的交易。

Web3安全仍然处于前沿，作为重建对DeFi协议信任的一种方式。KelpDAO的黑客事件对DeFi借贷产生了持久的影响，并引发了关于加强Web3安全的问题。

DeFi黑客在四月达到一年高点，引发了关于Web3风险以及更好拦截黑客的方法的讨论。| 来源：DeFiLlama。

四月的近期黑客浪潮可能促使应用重新评估其访问数据和允许交易的方式。类似的黑客在五月继续发生，$930K 在本月迄今为止丢失。根据DeFiLlama的数据，最近，Bisq协议因协议逻辑缺陷和伪造客户端攻击，损失了$858K 。

Web3应用存在数据验证问题

据Ormilabs的Victor Fei表示，KelpDAO的黑客事件清楚地展示了即使区块链状态与数据不符，应用仍能继续运行的情况。

Fei解释说，应用程序并不总是直接引用区块链。相反，它们依赖中介机构，如RPC节点，而不是原始链上数据。这是以太坊和其他较旧链的要求，后者对于大多数应用来说已不再可行直接访问。

由于数据源有限，桥只能依赖少数RPC节点。当某些源被破坏或不可用时，应用可能基于错误数据运行，而底层链仍会将交易视为有效。

大多数现代Web3应用不直接访问链，而是依赖某些索引方式获取相关信息。索引可能显示有缺陷的数据，或成为攻击的直接途径。

KelpDAO的漏洞充分暴露了这一点。验证过程信任了有限数量的RPC源，攻击者劫持了其中一些源。由于数据层存在缺陷，区块链照常处理交易，并用假余额换取真实币。

如果允许AI代理基于有限且可能有缺陷的数据层行动，问题将变得更加严重。

什么能提升Web3安全？

KelpDAO、Drift Protocol及其他近期黑客事件的最大缺陷在于执行速度。大部分交易都是立即发生，并在下一个区块中确认，没有冷却期或额外检查。Web3宣传其快速无许可交易的能力，但这也让坏人能以速度执行他们的盗窃。

“Web3安全的未来归结于速度。我们的数据显示，黑客和洗钱既快又便宜，而团队的响应则缓慢且昂贵，”Global Ledger调查负责人Vladyslav Syrotin对Cryptopolitan评论道。

Syrotin认为，Web3项目应缩短检测时间，以捕捉异常流出、突发流动性下降或可疑的智能合约调用。

据Syrotin所述，攻击发生后，一秒内应自动发出警报和阻止，受害者报告和数据标记应在十分钟内完成。目前，统计总损失和追踪攻击者的钱包群体需要数小时甚至数天。

Syrotin补充说，即使是30秒的警报和四小时内的标记，也能帮助防止大约一半的事件，减少损失。

不要只读加密新闻。要理解它。订阅我们的通讯。免费。