DeFi, itu adalah waktu yang paling berbahaya: lubang nyata tidak dalam kode
Penulis:DarkoIOSG
1 APRIL 2026, UTC WAKTU 16: 05: 18Protokol DriftSebuah transaksi telah diajukan. Setelah beberapa detik, kesepakatan lain disetujui. Dua belas menit kemudian, $285 juta hilang. Setelah 17 hariKelpDAOSebuah sertifikat penyerang di jembatan ditempa $292 juta tanpa dukungan token sendiri dan memicu outflow sekitar $8,5 miliar dari Aaf dalam waktu 48 jam, serta sekitar $4,5 miliar dari kesepakatan lain DeFi. Dua belas hari kemudian, penyerang dengan kunci penyebaran dicuri mengambil $4,5 juta di empat rantai dari Wasabi Protocol。
Tak satu pun dari insiden ini karena penggunaan celah kontraksi cerdas。
DeFi telah diyakinkan selama setengah dekade bahwa keamanan adalah masalah kode. Audit, formalisasi, pembayaran kebocoran - Seluruh industri sendiri-terorganisir sekitar premis bahwa perjanjian aman selama kontrak cerdas adalah logis. Matematika adalah hukum。Pada tahun 2026, April adalah bulan ketika premis runtuh dalam pandangan publik。Kasus pencurian selama 30 bulan melebihi $625 juta - menurut DefiLlama, bulan paling gelap dalam sejarah enkripsi oleh sejumlah peristiwa - dan setiap kerugian besar kembali ke kunci pribadi administrator, salib rantai sertifikat jembatan, zona buta prognosis atau serangan rekayasa sosial, semua yang merupakan basis operasional bahwa audit tidak pernah dirancang untuk menutupi。
Ini tentang migrasi. Kami akan merobek tiga insiden hacker serius ke tiga wajah yang sama gagal di bagian bawah April, dan bagaimana konfigurasi silang yang salah dari satu paket perjanjian telah memicu outflow dari $13.2 miliar dari kesepakatan yang lebih besar 25 kali lipat, dan terus terang melihat wajah DeFi sekarang - itu sebenarnya merupakan infrastruktur terbuka dengan kepercayaan yang dioperasikan, bahkan dalam istilah pemasaran. Masalahnya bukan dalam matematika. Masalahnya adalah dengan "model berpikir" di sekitarnya matematika。
Matematika tidak buruk. Yang buruk adalah dasar matematis model mental, dan biaya ini tidak cocok adalah memaksa industri untuk kembali memeriksa apa yang "decenter" berarti。
I GUIDELINES LIMITED
Untuk sebagian besar sejarah DeFi, budaya keamanan arus utama didasarkan pada soliditas. Udit tinjauan kontrak logika. Hadiahnya adalah untuk masuk kembali, tumpahan integer, dan galat dalam mengakses patch. Sertifikasi format sebagai kode rantai membuktikan tidak ada variabel. Asumsi implisit adalah segala sesuatu di luar kontrak - banyak penandatangan, kunci pribadi pengangkutan, sertifikat jembatan, infrastruktur relayer, saluran komunikasi tim - baik keluar dari lingkup atau masalah orang lain。
Asumsi ini hanya bekerja ketika para penyerang mengeksploitasi celah Kesendirian。
Beberapa insiden hacker pada April 2026 memiliki fitur struktural yang tidak dapat dijelaskan dalam laporan audit: tidak ada celah dalam kontrak cerdas itu sendiri. Kode Drift diaudit pada tahun 2022 oleh Trail of Bits, dan pada Februari 2026 oleh ClawSecure, keduanya diadopsi, menurut duplikat oleh peneliti pada rantai independen. Audit tidak menutupi konfigurasi tanda tangan ganda Drift, logika pemrosesan nonce digital, juga tidak ditutupi olehnyaDewan KeamananSerangan rekayasa sosial bertatap muka. KelpDAOLapis NolAdaptor adalah standar kode template OFT, dan kontrak itu sendiri tidak bermasalah. Kesalahan terjadi pada konfigurasi penyebaran, yang tidak biasanya dalam lingkup biasa audit Kesendirian. Kontrak Vault Wasabi dirancang untuk ditingkatkan; desain itu sendiri adalah celah。
Bukan matematika yang jatuh pada bulan April. Ini adalah basis operasi yang menjalankannya。
Ketiga Anatomi, tiga wajah dari kegagalan yang sama
Tiga insiden hacker serius pada April 2026 - Drift, KelpDAO, Wasabi - mewakili tiga berbeda "kegagalan kode non-". Bersama-sama, ketiga yang mencakup sebagian besar serangan baru dan berbagi fitur struktural yang sama: dalam setiap kasus, satu atau dua dari individu yang rusak atau infrastruktur memiliki efek domino pada kesepakatan secara keseluruhan。
Drift: penandatanganan daging manusia ($285 juta)
Insiden hacker Drift adalah operasi intelijen, bukan celah. Penyerang tersebut dianalisis oleh TRM Labs, Eliptic dan Drift dirinya sendiri dengan bantuan SEAL 911 karena Korea Utara Grup Lazarus, khususnya UNC 4736 subgroup, Mandiant sebelumnya terkait dengan serangan Radiant Capital pada Oktober 2024. Para penyerang menghabiskan sekitar enam bulan merencanakan operasi. Pekerjaan sosial dimulai pada pertemuan sectoral di musim gugur 2025, dan persiapan rantai dimulai tiga minggu sebelum kejadian。
Pada 11 Maret 2026, operasi diluncurkan dengan jumlah 10 ETH diusulkan oleh Tornado Cash. Pada hari berikutnya, sekitar jam 9 pagi. Pyongyang waktu, dana ini dikerahkan di Solana ke Karbon Vote Token (CVT). Para penyerang membuat kolam cairan kecil di Raydium, mengatur jangkar harga pasar dekat $1 pada knocking-on CVT, kemudian mengatur prediktor harga di bawah kendali mereka untuk memberi makan harga buatan ke Drift. Ada kesepakatan yang harus dipukul untuk membuat keluaran ramalan 'tampak sah "- cek acak apapun akan menemukan harga pasar konsisten dengan nubuat。
Pada saat yang sama, para penyerang menyamar sebagai agen perdagangan kuantitatif, yang menghabiskan beberapa minggu membangun hubungan dengan kontributor Drift. Tujuannya bukan untuk menangkap informasi, tetapi untuk membangun kepercayaan di muka untuk beberapa saat。
Saat itu tergantung pada nama dari Solanakau tidak bisaKarakter: mekanisme sah yang memungkinkan "tanda tangan hari ini, eksekusi nanti". Antara 23 Maret dan 30 Maret, setidaknya dua dari lima Drift Lima Dewan Keamanan memiliki tanda tangan dari nonce digital. Dari perspektif tanda tangan, mereka menyetujui transaksi rutin. Dari perspektif web, signature ini adalah dokumen otorisasi yang valid, yang aktif tapi valid。
Pada 26 Maret, Drift membuat keputusan bencana posteriori untuk pindah ke brand-baru 2-of-5 Dewan Keamanan oversigned dan jam kosong. Relokasi dihapus jendela penundaan mana serangan mungkin telah terdeteksi atau mengganggu。
Pada 1 April, UTC 16: 05: 18, penyerang menyerahkan pertama sebelum ditanda tangani transaksi nonce - proposal untuk mentransfer kontrol administrator ke alamat H7PiGCUMUELA BovKEGETTTE Qe6dbq6VTW6GU7ZgL. Satu detik, UTC 16: 05: 19, transaksi pra-signed kedua disetujui dan dieksekusi. Para penyerang mengambil Drift。
Butuh 12 menit. Penyerang tersebut mendaftarkan CVT sebagai jaminan yang tidak berharga, meminjam hampir tidak terbatas, menyimpan 500 juta CVT dengan harga dari ramalan yang dimanipulasi, kemudian menghapus 285 juta dolar aset nyata dari tiga Vaults inti - JLP, USDC, SOL, CBT, wbTC, ETH. Drift 's TVL runtuh dari $550 juta menjadi sekitar $250 juta. Dua tanda tangan, satu kesepakatan, dengan kontrak cerdas bekerja sepenuhnya sesuai dengan desain. Kebocoran pada "manusia"。
Satu titik mengenai tanggapan mantan Drift sebagai post facto yang layak disebutkan, karena berhubungan dengan kriteria yang harus dipenuhi pada putaran berikutnya dari perjanjian korban: Drift sendiri post facto pengungkapan sangat jujur。
Dalam lima hari kebocoran, tim merilis salinan rinciSerangan rekayasa sosialRewinding - termasuk fakta bahwa kontributor telah dihubungi beberapa kali selama enam bulan; bahwa dua dari kontributor mungkin telah diserbu melalui gudang kode dan versi tes dari dompet TesteFlight; bahwa percakapan dengan penyerang Telegram dihapus sebelum dan setelah serangan; dan bahwa keputusan untuk bermigrasi enam hari sebelum insiden ke nol setir menghilangkan jendela deteksi terakhir. Tim juga mengungkapkan alasan untuk serangan (UNC4736 / Citrine Sleet) dengan kredibilitas menengah, berkoordinasi dengan SEAL 911, dan berbagi rincian operasional yang akan membantu kesepakatan lain mengidentifikasi metode perang yang sama. Kesepakatan yang terluka sering ditarik kembali ke kehati-hatian hukum dan bahasa yang tidak jelas; Drift memilih untuk mengeluarkan narasi dengan rasa kualitas yang bersifat gaib yang akan mengubah insiden tunggal menjadi ancaman kecerdasan yang besar. Insiden itu sendiri tetap menjadi insiden peretasan dan kesenjangan pemerintahan yang mendasari tetaplah celah. Tapi..Kesediaan untuk mengungkapkan bagaimana "rekayasa sosial bekerja" bekerja adalah kunci untuk membedakan antara perjanjian yang berkontribusi untuk industri kolektif belajar dan perjanjian yang menelan kerugian dalam keheningan。
KelpDAO: sertifikat tunggal ($292 juta)
Tujuh belas hari kemudian, pada 18 April, jenis ancaman yang sama menghasilkan serangan struktural yang sama sekali berbeda. KelpDAO adalah perjanjian janji cair yang mengeluarkan rSETH - deposit atas nama pengguna dan tanda untuk memperoleh keuntungan tambahan melalui rute Eigenlayer. Pada April 2026, TVL RSETH telah melampaui $1 miliar dan dikerahkan lebih dari 20 rantai melalui OFT LayerZero (Omnichan Fungned Token) standar。
Kontrak baik-baik saja. Konfigurasinya bermasalah。
Jembatan rantai KelpDAO berjalan pada 1-of-1 DVD (Dedentrazed Verifier Network, pergi ke jaringan sentralisasi sertifikat) - yaitu, hanya satu sertifikat. Satu titik cukup untuk menyetujui pesan lintas-link. "Dedentreisasi" adalah istilah, bukan struktur。
Serangan terjadi secara bertahap. Penyerang pertama menginvasi node RPC internal di mana sertifikat mengandalkan membaca rantai sumber, kemudian meluncurkan koordinat DDoS serangan pada node luar, memaksa sistem untuk mundur ke infrastruktur yang terkontaminasi. Ketika sumber data berada di tangan mereka sendiri, mereka ditempa lintas-link pesan yang memerintahkan KelpDAO untuk menempa rSETH dengan "tidak pernah karena tidak ada rantai" kontrak penghancuran。
UTC 17: 35, kontrak tersebut merilis 116.500 rSETH - dihargai sekitar $292 juta, atau sekitar 18 persen dari sirkulasi mata uang - untuk mengatasi yang dikendalikan oleh penyerang. Dalam beberapa menit, RSETHs ini ditempatkan sebagai jaminan di Aave dan masing-masing dihargai sekitar $2.500. Penyerang meminjam WeTH nyata, USDC, WBTC dengan agunan yang tidak didukung dan akhirnya dihapus lebih dari 82.600 ETH (sekitar $191 juta) sebelum KelpDAO menangguhkan kontrak di UTC 18: 21。
UTC 18: 26 dan 18: 28 upaya untuk menghapus 40.000 rSETH setiap kali digulung kembali. Skorsing berhenti kerugian lebih lanjut, tapi tidak yang asli。
Tidak ada celah masuk kembali, tidak ada pemeriksaan akses yang hilang, tidak ada ramalan kecil dalam logika Kelp sendiri. Variabel akuntansi yang mendefinisikan persimpangan rantai bridge - aset dilepaskan pada tujuan rantai harus sama dengan aset hancur pada rantai sumber - dilanggar di tingkat sistem, bukan pada tingkat transaksi. Satu titik, ratusan juta dolar kerugian。
Siapakah pula yang mengirim angin pertanda hujan sebagai pembawa rahmat? Mantan post facto LayerZero melaporkan dibuang langsung ke Kelp atas dasar bahwa Kelp telah memilih 1-of-1 DVD yang melanggar pedoman. Dalam memorandum rebutal tanggal Mei 5, Kelp menggambar gambar lain: 47 persen dari kontrak "Lapis Nol OApp" yang aktif - sekitar 1.250 aplikasi dengan gabungan nilai pasar lebih dari $4,5 miliar - dijalankan pada konfigurasi perwira sertifikasi yang sama. Kelp mengklaim bahwa rumah LayerZero, OFT Quickstart, GitHub Expite dan Piagam Pengembang, yang menggunakan LayerZero Labs, DVD rumah, sebagai keaslian wajib ketika meninggalkan pabrik, dan tidak memiliki yang kedua, dan menunjukkan Gambar Telegram dari staf LayerZero, yang mengatakan kepada tim Kelp dalam dua setengah tahun, delapan diskusi integrasi, bahwa "nilai baku baik-baik saja". Peneliti keamanan Sujith Sopraaj (mantan Audititor LaserZero) telah mengajukan laporan celah yang menggambarkan pola serangan ini tepat di Immunefi, yang ditolak oleh LaterZero di lapangan bahwa "jaringan sertifikat memilih milik lapisan aplikasi"。
LayerZero menanggapi memorandum Kelp dengan mengatakan bahwa pernyataan itu salah. Hadiah kesenjangan termasuk konfigurasi "lapisan perkakas" dan batasan standar "platform / aplikasi" (Juru bicara LayerZero mencatat bahwa jika tidak "aplikasi apapun dapat mengatur dirinya sendiri sebagai DVD dan menerima hadiah itikad buruk"); nilai baku dari protokol di bawah hampir semua rute sebenarnya banyak DVD, seperti untuk mereka para templat yang muncul 1- -1s, hanya DVN yang menunjuk ke sebuah kontrak tempat duduk yang disebut "DeadDVN" akan menolak semua informasi yang ada di depan untuk para pengembang keamanan. Untuk Kelp, LalerZero mengindikasikan bahwa Kelp awalnya menyebarkan multiple DVD, yang kemudian secara manual diturunkan ke 1-of-1 - bukan "nilai baku". Peron vs Batas-batas aplikasi memang merupakan titik nyata dari konsistensi, dan insinyur rasional akan tidak setuju tentang masalah apakah "template dapat dikonfigurasi sebagai platform dalam keadaan berbahaya, atau apakah itu bertanggung jawab untuk konfigurasi sebenarnya dikerahkan oleh pengguna"。
Belum lagi, bagian kedua dari respon akhir LayerZero. Pada tanggal 8 Mei, tiga minggu setelah laporan pertama, LayerZero membalikkan dan meminta maaf: "Kami membuat kesalahan, memungkinkan DVD kami untuk beroperasi sebagai 1-of-1 DVD dalam transaksi bernilai tinggi. Kita tidak ditahan oleh DVD kita sendiri untuk alasan perlindungan. Persetujuan berhenti mendukung 1-0 dalam sistem DVD, memindahkan nilai baku ke 5-of-5, yang disebut 7-0 dari 3-of-5 dan mengumumkan platform pemantauan distribusi baru (Console). Apakah konfigurasi bawah adalah kesalahan Kelp, kesalahan LayerZero, atau - kemungkinan besar - kegagalan bersama antara platform yang dapat digunakan untuk keadaan berbahaya dan sebuah persamaan terdowngraded aktif, respon akhir dari kedua belah pihak adalah kondensasi dengan jawaban yang sama: 1 - dari 1 - 1 terbukti tidak aman dalam skala, dan industri tidak harus telah belajar tentang hal ini dengan $292 juta。
Wasabi: Kunci privat Manajer ($4,5 juta)
Pada tanggal 30 April, Wasabi, urutan kecil besarnya dari dua lainnya, juga yang paling memalukan. Itu adalah "hacker diam"。
EOA - sebuah alamat 0x5c629 / f8c0b53853c853b79d28efb64fb0c8 - memiliki ADMIN ROLE dalam manajer kontrak permanen yang dikerahkan di Wasabi pada Etherum, Base, ledakan dan Bera rantai. Tidak ada lagi tanda tangan. Kerangka kontraktual akan mendukung jadwal, tapi konfigurasi nol。
Para penyerang mampu mendapatkan kunci pribadi - memancing, gangguan peralatan, pasokan serangan berantai - dan Wasabi tidak memberikan kesimpulan akhir. Dengan ADMIN ROLE, mereka memberikan peran yang sama untuk kontrak pembantu berbahaya, upgrade kontrak Vault oleh agen UUPS, dan dihapus agunan dan saldo kolam renang. Total kerugian rantai sebesar $4,55,5 juta。
Wasabi tidak menggunakan teknologi baru. Lubang ini telah diperingatkan selama bertahun-tahun sebagai counter-model deFi: konsentrasi otoritas yang berlebihan, kurangnya pemisahan kekuasaan, dan tidak ada jendela penundaan. Ini adalah celah yang sama bahwa DeFi sudah melalui sejak 2020, menulis setelah-laporan tindakan, tetapi tidak pernah berubah dalam praktek。
Pada akhirnya, mereka hacker yang sama. Apakah akses khusus diperoleh melalui manipulasi tanda tangan, gangguan dari titik otentikasi atau pencurian kunci pribadi eksployer, wajah serangan adalah sama - konsentrasi kekuasaan di luar kontrak cerdas - dan perlindungan tidak memadai. Pola ini juga merupakan peringatan: dalam setiap insiden, satu atau dua dari entitas yang rusak memicu rantai domino yang tidak dapat dihentikan oleh konsolidasi begitu banyak。
Domino asimetris
Insiden KelpDAO lebih dari jumlah dolar per se karena itu terjadi setelah itu... Ini adalah tes stres pertama DeFi dalam konteks operasi yang gagal. Hal ini juga salah satu contoh terbaik untuk saat ini "bagaimana ridiculously asimetris ekstensi matematika adalah"。
Mengatur skala: rSETH TVL di KelpDAO adalah sekitar $1 miliar pada saat kejadian; Aave menyeberangi semua rantai dengan AUM lebih dari $25 miliar. Perjanjian sebesar 4 persen dari ukuran Ave, dengan insiden tunggal mengambil $8.45 miliar dari keluarga Aaf dalam waktu 48 jam -- peningkatan $15,1 miliar dalam tiga setengah hari -- seluruh DeFi TVL jatuh di jendela 48- jam sebesar $13.41 miliar dalam periode yang sama. Asimetris adalah kisah nyata. Sebuah kesepakatan kecil dengan konfigurasi yang salah dari jembatan melintang dipicu bank menjalankan lebih dari kesepakatan yang jauh lebih besar bahwa, menurut semua target kontraktual sendiri, adalah "dijalankan oleh aturan"。
Ketika penyerang melemparkan rSETH yang tidak didukung dan memasukkannya ke dalam Aave, kontrak Aave secara ketat diatur. Mesin ramalannya, di jendela pendek di mana para penyerang meminjam, masih membaca RSETH dekat dengan 1: 1. Pinjaman kolam melepaskan WETH nyata terhadap jaminan yang tampaknya "efektif" untuk semua sistem dalam rantai。
Respon pasar segera. RSETH perdagangan mendalam di DEX dalam beberapa jam, mencerminkan ketidakpastian nyata - adalah 82% sisa pasokan sepenuhnya didukung atau tidak? Aafve V3 dan V4 membekukan pasar rSETH; Fluid, Commundd, Euler, Morpho tindak lanjut dalam beberapa jam (Sparklend telah jatuh rSETH awal Januari). Arbitrum, Base, Mantle, Linea, Blast, pemegang Scroll dari rSETH tidak dapat diyakinkan pada saat ini bahwa token di tangan mereka akan: 1: 1 kembali ke jaringan host dari Ether。
Kehabisan berikutnya bukan karena Aafe diretas, tetapi karena depositor tidak dapat menentukan apakah jaminan dijamin untuk pinjaman mereka bahkan pelarut. Ave telah mengumpulkan posisi rSETH yang cukup dalam beberapa minggu sebelum kejadian karena pengguna memanfaatkan penerimaan ulang; perjanjian membuat biaya dan tidak menutup pembukaan. Jadi penyebaran bukan semata-mata "pengamat" logika - bahwa Aafve telah memilih untuk mengambil risiko persaingan sendiri - tapi pemicu di luar kontrak sendiri dan melampaui apa yang dapat mendeteksi dalam pemerintahan sendiri。
Aafve 's respon terhadap acara ini layak catatan terpisah, karena menetapkan benchmark terhadap yang lain besar pinjaman kesepakatan dapat diukur. Dalam beberapa jam dari kejadian, manajer darurat dari kesepakatan membekukan pasar RSETH pada semua rantai yang terkena dampak dari V3 dan V4, mengatur LTV ke nol dan menyegel post- kerugian. Dalam satu jam, penyedia layanan Aafve mengeluarkan laporan rinci pada Forum Pemerintah, yang secara publik memangkas dua utang buruk yang berbeda - $123.7 juta jika Kelp mensosialisasikan kerugian di antara semua pemegang rSETH; dan $231,1 juta jika kerugian itu terisolasi ke L2 eksplimen - bersama dengan chain-by-rincian rantai yang akan menanggung kesenjangan。
Pendiri, Stani Kulechov, secara pribadi berkomitmen 5.000 ETH untuk pemulihan; DeFi United Alliance, yang dipimpin oleh penyedia layanan Aaf, EtherFi, LayerZero, Mantle, dll - dijamin lebih dari $300 juta dalam komitmen untuk mengisi kesenjangan rSETH. Ini adalah terobosan terbesar yang diatur penyelamatan dalam industri sampai saat ini。
Kritik ini lebih sempit dan harus dilihat terpisah dari respon: postur Aave telah melayang karena akun yang buruk menjadi lebih jelas. Cadangan Umbrella awalnya dijanjikan untuk menutupi celah dan melunak untuk "menjelajahi jalan untuk mengisi celah" dalam beberapa hari. Narasi ini kecil tapi penting - dalam abstrakto kedengarannya seperti kesepakatan tingkat asuransi yang menjadi dinegosiasikan setelah angka-angka spesifik. Aave telah menanganinya dengan benar pada tingkat operasional, tanpa mengubah realitas struktural: depositor yang deposito USDC ke dalam kesepakatan menanggung risiko dari biaya pemalsuan bahwa mereka mungkin tidak tahu sama sekali, sementara mekanisme asuransi perjanjian pada akhirnya lebih mengikat daripada tersirat dalam dokumen。
Itulah masalah struktural yang lebih dalam. Desain tunggal-kolam renang yang memberikan Ave mobilitas dalam dan pengalaman sederhana juga berarti bahwa agunan buruk dipasang, menciptakan radius ledakan di seluruh protokol. Meskipun pemerintahan sendiri Aave adalah rajin dan baik-dikontrak, kesepakatan masih di hilir dari persaingan apos; s kegagalan keamanan - dan ini pembukaan hilir cukup untuk menekan nine- digit dana dan memicu pembekuan pasar dalam sembilan perjanjian。
Kombinasi yang mendasari pertumbuhan DeFi, dan juga saluran penyebarannya, adalah pertama kalinya RUU ini dibersihkan dengan cara skala pada April 2026. Hukum tidak jelas. Kombinasi apa yang mendorong pertumbuhan DeFi sekarang menjadi saluran transmisi "bagaimana kegagalan satu kesepakatan berubah menjadi bank perjanjian lain"。
IV
Kita mengelilingi industri yang menghindari dialog。
Untuk menyebutnya OpenFi: akses tanpa lisensi, dapat dibaca, tetapi pada titik kunci dari "out-of-the-central argumen bahwa perantara harus dihapus" operasi tetap tergantung pada infrastruktur keuangan pihak ketiga yang terpercaya. Dengan definisi ini, sebagian besar hal yang dipasarkan hari ini dalam nama DeFi adalah OpenFi. Dewan keamanan dengan kewenangan untuk mentransfer kendali administrator. Sebuah jembatan penghubung dengan hanya 1-of- 1 sertifikat. Sebuah pengelasan dengan rantai salib ADMIN ROLE. Sebuah tanda pemerintahan, seperti Nouns, cukup fokus untuk menangkap perbendaharaan minoritas pasien. Masing-masing adalah "jahitan istimewa" dalam sistem yang disebut mulus。
Perlu diingat apa yang dikatakan argumen asli. "Perhitungan" Szabo mengurangi kepercayaan, infrastruktur "netral kredibel", desakan Cypherpunk pada "privasi dan kebebasan untuk menuntut penghapusan daripada mengaudit perantara" bukan tentang "transparansi". Transparansi diperlukan dan mudah. Ide yang sangat sulit -- ide tentang semua pembayaran gesekan untuk menjalankan Global Status Machine pada puluhan ribu node berlebihan. "Tak seorang pun di sistem dapat dipaksa, ditangkap, disuap atau diserang untuk mengubah aturan". Sebuah buku rekening publik yang dapat Anda periksa, tetapi yang Anda tidak dapat mempengaruhi, dan rekening publik bahwa kunci pribadi administrator adalah berbaring di aman seseorang di dompet hardware nya, adalah dua hal. OpenFi terus setengah pertama dari kesepakatan dan diam-diam kehilangan paruh kedua。
Perjanjian yang berbeda bergantung pada jenis kepercayaan dan model kegagalan yang berbeda. Ini berguna untuk nama mereka: Percaya pada kepercayaan (seseorang memegang aset nyata untuk Anda, dan Anda menukarnya dengan klaim - jembatan rantai cross-, token kemasan); upgrade kepercayaan (seseorang dapat mengubah perilaku kontraktual - agen, dewan keamanan - setelah Anda menyimpan); prediktor kepercayaan (seseorang menyediakan data yang kontrak itu sendiri tidak dapat menghasilkan - makan harga); dan kepercayaan hidup (sistem berfungsi berdasarkan operasi kontinyu - beberapa orang dapat melakukannya setelah Anda menyimpannya). - sorter, Relayer, Keeper; pemerintah kepercayaan (diberikan pemegang mata uang, atau fraksi kecil dari quorum yang dapat ditemukan dalam surat suara diperdebatkan). Kebanyakan perjanjian mengandalkan tiga atau empat dari mereka secara bersamaan. Kebanyakan tulisan pemasaran membawa mereka semua ke kata "layak" dan memungkinkan pembaca untuk menebak sisanya。
Masalah yang lebih besar adalah bahwa beberapa asumsi ini benar-benar tersembunyi. Dalam permintaan maaf pada bulan Mei, Lapis Nol mengakui bahwa tiga setengah tahun yang lalu, salah satu dari beberapa tanda-tandanya telah membuat kesepakatan pribadi dengan produksi dompet perangkat keras lingkungan. Kegagalan ini diperbaiki secara internal dan tidak pernah diungkapkan kepada pengguna, dan akhirnya muncul sebagai bagian dari salah satu pengumuman yang diperkuat, dan dikemas menjadi konsolidasi rutin daripada pengakuan sukarela. Tidak ada cara bagi pengguna dari sistem kepercayaan untuk mengetahui tentang hal ini, juga tidak ada cara untuk harga risiko yang sebenarnya terjadi。
Ada eufemisme dalam industri tentang kesenjangan ini: "roda pelatihan". Inti dari penjualan adalah bahwa kunci pribadi administrator dan Dewan Keamanan adalah transisi - itu ada hari ini, dan itu akan dihapus ketika kesepakatan cukup matang untuk berjalan secara independen. Roda latihan hampir tak pernah lepas landas saat latihan. Mereka telah berganti nama, diperbarui, diperbarui atau diam-diam ditransfer ke yayasan. Tahap 0 / Tahap 1 / Tahap 2 kerangka untuk L2Beat adalah pengecualian terbersih untuk keberadaan "industri, jika itu ingin, dapat benar-benar menjelaskan asumsi kepercayaan yang sebenarnya". Ada sedikit kesepakatan untuk menggunakan ekspresi L2Beat dalam pemasaran sendiri, yang dalam bukti sendiri bahwa "dalam kejujuran adalah struktur, bukan sporadis"。
INI ADALAH REALITAS REKAYASA DAN DIBENTUK PADA SETIAP TINGKAT OLEH INSENTIF BAHWA PEMBANGUN BENAR-BENAR MENGHADAPI. JIKA ANDA INGIN MENDAPATKAN PADA BARIS CEPAT, MENANGGAPI CELAH TANPA PERSETUJUAN GARPU, MENDUKUNG TIPE AGUNAN BARU, TERINTEGRASI DENGAN BAGIAN LAIN DARI EKOLOGI, ANDA PERLU LEVERAGE. KONTRAKSI YANG BENAR-BENAR TIDAK DAPAT DIUBAH DAN BUKAN SUBYEK UNTUK AKSES HAK ISTIMEWA MEMANG KUAT, TETAPI MEREKA JUGA RAPUH - SETIAP PERUBAHAN KEBUTUHAN HARUS DIMIGRASI SEPENUHNYA, SETIAP CELAH MENJADI PERMANEN, DAN FUNGSIONALITAS BARU MENGHARUSKAN PENGGUNA UNTUK RE- OPT UNTUK PEMBAGIAN BARU. SELAIN FAKTOR-FAKTOR TEKNIS, ADA KENYATAAN BAHWA JADWAL VC TIDAK MEMUNGKINKAN UNTUK TIGA TAHUN FORMALISASI SIKLUS SERTIFIKASI, DENGAN PERJANJIAN PERTAMA-BARIS MENGAMBIL LIKUIDITAS。
Portfolio memperbesar masalah: sebuah persetujuan infleksibel tidak dapat mengakses ramalan baru, tidak dapat mendukung rantai baru dan tidak dapat memperbaiki celah yang diidentifikasi kecuali semua pengguna dan persamaan terpadu dipaksa untuk bermigrasi. Hasilnya adalah, untuk setiap tim individu, pilihan rasional adalah "tarik dengan kunci pribadi administrator dan berjanji untuk menghapusnya di masa depan"; untuk setiap pengguna individu, pilihan rasional tunduk pada perdagangan ini - off, karena perjanjian alternatif baik tidak ada atau tidak cair. OpenFi bukanlah kegagalan moral dari pembangun individu. Ini adalah keseimbangan Nash di bidang ini。
Ekspresi jujur adalah bahwa DeFi telah hampir universal dipilih untuk sebuah decentrisasi parsial untuk kemungkinan operasional. Pilihan ini dapat dipertahankan. Apa yang tidak jujur adalah bahwa perjanjian tidak ditimbang dengan nama dan terus dipasarkan sebagai "desentralisasi", sementara model keamanan mereka yang sebenarnya bergantung pada beberapa pertanda, sertifikat, atau beberapa tanda tangan yang dapat diserang oleh pekerja sosial。
Cara maju lebih dekat ke "Diketahui" daripada "revolusioner": label wajib kepercayaan berdasarkan model L2Beat; cukup lama jeda untuk memungkinkan pengguna untuk keluar sebelum hak istimewa selesai; harga "risiko operasi" daripada kode fiktif "risiko" pasar asuransi; dan sobering split antara "bagian dari sistem yang perlu ditingkatkan" dan "apa bagian yang hanya dibuat variabel oleh kebiasaan struktur." April 2026 tidak membuktikan bahwa OpenFi tidak layak. Ini membuktikan bahwa pasar itu merupakan sistem OpenFi sebagai DeFi, dan penggunanya tidak siap untuk pola kegagalan yang sebenarnya mereka miliki. Untuk membuat sistem seperti aman, langkah pertama adalah untuk jujur mengakui bahwa kita membangun hal ini。
V. Berpusat dua sisi koin
Perdagangan inti OpenFi menjadi terlihat dalam pembekuan Arbitrum. Setelah tiga hari eksploitasi celah KelpDAO, Dewan Keamanan Arbitrum memilih untuk membekukan penyerang ke 30,766 ETH - sekitar $71 juta - pada Arbitrum One. Kedinginan, yang dilakukan dalam koordinasi dengan pihak berwenang penegak hukum, adalah hasil yang baik oleh sebagian besar kriteria: dana yang dicuri dicegah dari dicuci, jalur penyerang 'downstream ditutup dan beberapa kerugian pengguna mungkin akan pulih。
Tapi tolong dicatat apa yang membuat pembekuan ini mungkin Arbitrum memiliki Dewan Keamanan yang memiliki hak untuk "transfer dana melalui rantai". Ini bukan sifat infrastruktur desentralisasi. Ini adalah switch terpusat yang ada oleh desain -- Hal ini dibenarkan atas dasar "respon darurat" dan digunakan dengan cara yang kritikus selalu takut - tidak selalu buruk, tetapi dengan konsekuensi besar。
Mekanisme yang sama yang memungkinkan Arbitrum bertindak sebagai "orang baik" setelah Kelp sama persis mekanisme yang letd Drift diserang -- - sejumlah kecil sinyal kredibel memiliki kekuatan untuk melaksanakan operasi tingkat protocol-, yang berbeda hanya dalam hal "bagaimana powerfully menahan kekuatan ini". Pada satu kesempatan, kekuatan ini secara hukum digunakan untuk membekukan uang curian; di sisi lain, itu dibajak oleh rekayasa sosial dan digunakan untuk menarik deposito dari pengguna kering. Leverage, dipotong di kedua sisi。
"Menutup saklar" gagal melalui setidaknya lima saluran yang berbeda - rekayasa sosial (Ronin, Drift), invasi internal (Multichain), pemaksaan berdaulat, pemaksaan hukum (Tornado Cash, USDC) dan manajemen pembajakan (Beanstalk, Markets). Masing-masing dari mereka adalah serangan yang berbeda, pertahanan yang berbeda, dan frase "Dewan gagal" menutupi semuanya. Ini adalah langkah pertama untuk mulai mempertahankannya dengan membuka saluran beton kegagalan。
Ini adalah koin kedua sisi DeFi dan hal yang paling penting tentang keadaan industri: Masing-masing pengangkat operasional yang dapat membawa "hasil yang baik" dalam situasi darurat juga merupakan wajah serangan - dapat membawa hasil buruk dalam insiden lain。
Pertanyaan yang lebih dalam adalah: dalam kasus Arbitrum, kata "hasil yang baik" terlalu banyak. Legitimasi dibangun secara sosial, dan sama jenis pengaruh telah ditarik dalam keadaan di mana konsensus jauh dari bersih. The 2016 DAO split in Etheum is still a classic case: setengah dari komunitas bersikeras bahwa $60 juta celah adalah yang paling jelas dan sah penggunaan konsensus sosial; separuh lainnya bersikeras bahwa itu adalah pengkhianatan yang fatal dari "code is the law" dan bahwa itu rusak untuk memungkinkan rantai asli untuk melanjutkan dalam bentuk Etheum Classic。
Circe dan Τether sering membekukan alamat USDC dan USDT, kadang-kadang dalam menanggapi sanksi OFAC, kadang-kadang pada kecurigaan, dan pengguna terpengaruh tidak memiliki jalan lain - - Pembekuan dikemas sebagai kepatuhan, tetapi pada dasarnya diskresioner. Arbitrum membeku berhasil. Garpu DAO, dalam arti itu bekerja. Pembekuan USDC bekerja setiap hari. Pertanyaan kejujuran adalah bukan apakah "menutup saklar akan menghasilkan hasil yang baik" tapi "siapa yang akan memutuskan apa hasil yang baik" - dan apa yang pengguna perjanjian telah diberitahu tentang proses ini。
Tidak ada versi trade- off dapat "hanya satu". Baik Anda mematikan saklar, atau Anda memiliki sesuatu yang dapat ditangkap, dimanipulasi, bersosialisasi, atau Anda tidak, Anda harus menerima bahwa sesuatu akan permanen dan tidak dapat dikembalikan。
Juga tidak memanfaatkan ini saling berhubungan. Kombinasi Dewan Keamanan Arbitrum dapat dengan cepat memindahkan dana pada ambang batas rendah melalui proses darurat - "kecepatan + range" - untuk membuat pembekuan mungkin, tetapi kombinasi yang sama juga membuat pola kegagalan dari invasi sendiri。
Pengaruh THORchain lebih kecil: dapat disuspensi dan direkayasa melalui RUNE, tetapi tidak memiliki hak untuk merebut atau mengarahkan aset pengguna. Manajer darurat di Aave dapat membekukan pasar dan mengatur parameter risiko, tapi tidak dapat mentransfer saldo pengguna. Penutupan darurat MakerDAO adalah ekspor satu arah, bukan alat investigasi. Bentuk yang berbeda, berbeda trade- off, tapi semua singkatan disebut "Close Switch". Sebuah perjanjian yang bersedia untuk jujur dengan model kepercayaan sendiri tidak berutang lingkup pengguna, tapi bentuk tertentu。
Industri juga cenderung menghindari perbedaan lain antara "memanfaatkan dalam keadaan ekstrim" dan "memanfaatkan dalam irama konvensional"。
Bitcoin dan Etheum pada prinsipnya semua memiliki derajat yang cukup sinergi antara saklar penutupan - node, penambang, certifyers dan pertukaran - dan akan dapat membagi setiap rantai besok. Kedua rantai masih dianggap kredibel untuk meminimalkan kepercayaan karena pengungkitnya hampir tidak pernah ditarik, dan biaya masing-masing adalah perpecahan komunitas permanen. The DAO split selama 10 tahun terakhir dan tetap yang paling kontroversial acara dalam sejarah Etherum. Bitcoin belum pernah mengalami hal seperti ini. Keberadaan pengaruh, tetapi komitmen kredibel untuk "aktivitas" dalam hal-hal konvensional, adalah sejarah panjang menahan diri yang memberikan sistem bawah tingkat kepercayaan yang tidak dapat diberikan oleh fitur desain saja。
Retrospeksi Dewan Keamanan Arbitrum, berjalan pada irama konvensional. Ini secara teratur suara untuk upgrade. Kelp melakukan tindakan mendesak sebelum membeku dan lebih sesudahnya. Ini bukan cadangan kapasitas aktif, tapi aktif mengatur tubuh. Kritik OpenFi berlaku untuk "leverage aktif" jauh lebih dari untuk "leverage hypnotic," karena menahan diri tuas hibernasi itu sendiri adalah sinyal - kepercayaan bahwa operator dengan ambang batas yang sangat tinggi telah menang, dan pengaruh itu sendiri tidak dapat diberikan. Pengaruh aktif tidak memiliki sinyal itu. Mereka hanya dapat dinilai oleh kontrol mereka sendiri, yang telah berulang kali terbukti tidak memadai。
THORCHAY telah mengadopsi rute "no- leverage" setelah menemukan celah di 2021, yang telah dikritik karena kurangnya intervensi. Arbitrum mengambil rute "Close Switch" dan menerima pujian. Kedua pilihan dapat dipertahankan. Tidak ada yang bebas. Industri harus berhenti berpura-pura memiliki keduanya - dan harus jujur memberitahu pengguna apa jenis perdagangan - off setiap perjanjian tertentu sebenarnya membuat。
Putaran terakhir: trade- off ini hanya akan memburuk dalam satu arah dari waktu ke waktu. Setelah kesepakatan dapat dibekukan, regulator dan pengadilan semakin cenderung untuk memutuskan bahwa itu "harus". Awalnya alat compliance darurat, kapasitas pembekuan USDC sekarang menjadi respon wajib terhadap fakta bahwa OFAC melingkar dan memperluas level penegakan daftar. Keputusan untuk "melepas switch online" adalah juga keputusan untuk "melanjutkan ke daftar kewajiban yang akan terus tumbuh selama siklus kehidupan dari kesepakatan", banyak yang tidak konsisten dengan arah yang perjanjian itu sendiri akan mendukung. Posisi THORRON 's "leverage" oleh karena itu tidak hanya sebuah pilihan teknik, tetapi juga sebuah postur regulasi - itu pre- empts "kewajiban kepatuhan" dengan pre- empting "kemungkinan kepatuhan". Pertanyaan tentang apakah postur seperti itu dapat bertahan di bawah tekanan penegak hukum terbuka, namun asimetri itu nyata: kesepakatan leverage dapat dipaksa untuk menggunakannya, tidak。
kejujuran ini jauh lebih penting daripada pemasaran untuk lembaga yang terlihat di luar. sebuah switch shut-down operasional dengan pengungkapan yang jelas dengan pemerintahan terdokumentasi, manajemen kunci dan respon insiden - ini adalah sesuatu yang dapat ditutupi oleh tim manajemen dana atau perusahaan asuransi. bukan perjanjian 2-5 yang disebut minimalisasi kepercayaan tapi berjalan lebih dari nol jadwal. mantan adalah pilihan teknik yang sah. yang terakhir adalah risiko bahwa tidak ada yang bisa harga。
Enam, apa yang terjadi selanjutnya
Kebiasaan siklus industri dilupakan. Setiap empat tahun siklus menciptakan kembali lembaga bahwa DeFi seharusnya menggantikan, dan dipukuli, berpikir singkat tentang mengapa prinsip ada, dan kemudian melupakannya lagi. Apa yang terjadi pada bulan April belum pernah terjadi sebelumnya. Ini adalah industri yang berdagang dengan prinsip kenyamanan, tanpa penamaan, dan dapat memprediksi akhir negara。
Tak satu pun dari tiga keputusan sekarang sebelum industri dan dapat ditunda lagi。
Centralisasi. Setiap perjanjian harus secara terbuka memilih apa pengaruh operasional itu dan menjelaskan bahwa pilihan untuk pengguna. Versi jujur dari DeFi bukan jenis DeFi yang menjual dirinya sebagai "off-center" dan berjalan lebih dari 2-of-5 pada nol jadwal, tetapi bahwa publik multiples komposisi, ambang pintu, Timelock, dan setiap kondisi leverage. Name- panggilan adalah satu-satunya cara untuk membuat trade- off layak。
Aman. Audit bukan batas. Operasi keamanan - kunci, penandatangan, persimpangan-rantai jembatan, konfigurasi, respon insiden - diperlakukan sebagai disiplin kelas pertama yang sama pentingnya sebagai tinjauan soliditas. Kebanyakan tim terus menggunakannya sebagai logistik. Sikap tersebut tidak akan bekerja dari saat distribusi harta mulai mengajukan pertanyaan bahwa mereka sekarang akan bertanya。
Pendanaan. Diputuskan bahwa siklus berikutnya pembiayaan akan duduk pada pensiun, distributor berdaulat, keuangan perusahaan dan neraca asuransi - mereka menonton. Mereka tidak perlu meminimalkan kepercayaan. Mereka membutuhkan risiko operasional yang dapat ditutupi. Ini akan muncul lebih seperti infrastruktur kritis daripada perjanjian eksperimental dan akan menyerap aliran. Perjanjian lain akan terus mempertahankan dana dispora yang selalu mereka miliki, melihat gelombang institusi memotong diri mereka sendiri。
April 2026 bukanlah krisis keamanan. Ini adalah saat ketika industri model mental benar-benar rusak, dan ini adalah saat ketika perjanjian yang bertahan hidup, awal yang dibedakan dari mereka yang bertahan hidup。
Referensi
Drift Protocol eksploitasi (1 April 2026):
-
Chainalysis, "The Drift Protocol Hack: How Privileged Access Led to a $285 Million Los". https: / / www.chainalys.com / blog / less on s-fom- the-drift-hack /
-
Elipsi, "Drift Protocol kecuali $286 juta dalam menyelesaikan serangan DPRK-linket". https: / / www.elliptic.co / blog / drift-protok- exploited-for-286-milliun- in- subspekted -dprk-link-unack
-
RM Labs, "North Korea Hacker Attock Manual di USD 285 Juta Heist". https: / / www.trmlabs.com / sumberdaya / blog / utara-kore- jacts-attack -drift -protocol-in - 285- million-theat
-
CoinDesk, "Drift menguraikan rencana respon bagi kita setelah $295 juta DPRK terkait kecuali". https: / / www.coinsk.com / bisnis / 2026 / 05 / 05 / drift-outlines-a- recovery-plan-for-for-after- usd295-dk-link-extloit
Pemakaian panel jembatan KelpDAO:
-
Chainalysis, "Inside the KelpDAO Bridge Express". https: / / www.chainalys.com / blog / kelpdao- jembatan-exploit-april- 2026 /
-
CoinDesk, "Kelp DAO kecuali $292 juta dengan dibungkus lain Terasing 20 rantai." https: / / www.coindesk.com / tech / 2026 / 04 / 2026 -s-biggest-crypto -except-kelp-dao-hit-for-usd292- millions -with-wraped -otherother -strangde-acros-20- chains
-
CoinDesk, "Aafve bisa menghadapi kerugian sebesar $230m setelah Kelp DAO Bridge extrauittigers DeFi Chaos". https: / / www.coindesk.com / tech / 2026 / 04 / aavve -could-face-up -to -usd230-in- in- loses-after -dao -bridgets -exploit -mouers- defice -fouse
-
DeFi Prime, "The KelpDAO rSETH Exploit: $292 M berkontribusi 1-of-1 Bridge"
Protokol Wasabi mengeksploitasi (30 April 2026):
-
Halborn, "Explained: The Wasabi Protocol Hack (April 2026)". https: / / www.halmear.com / blog / post / explain -the -was-protoco- have -april- 2026
-
CoinDesk, "Crypto Jacks berlanjut saat Wasabi Protocol menarik $4,5 juta dalam perusahaan admin". https: / / www.coindesk.com / tech / 2026 / 04 / 30 / sedang -protocod- draind- untuk -usd4-5-million -in- append-admin-key -commission
Pada April 2026, liputan industri yang lebih besar:
-
Forbes, "DeFi 's World Month Show Risk Telah Moved Beyond Smart Contractors". https: / / www.forbes.com / site / digital-aset / 2026 / 04 / defiss-world- month-shows-risk-has-moved-beyond- kontrak cerdas /
-
DR News, "Crypto industry reels as April sees the most number of jacks ever". https: / / www.drews.com / artikel / defi / crypto-incrystry -reels-after- tinggi nomor -of -hacks-ever /
-
DL News, "Investor menarik $15bn dari DeFi sebagai setidaknya jack potongan keamanan pendekatan". https: / / www.dnews.com / artikel / defi / misseor-tarik-uang-felfer-kelpdao- hack /
-
Financifeds, "Defi Contaerion Risk pada 2026: di dalam Kelp DAO- Aave Crisis". https: / / findoress.com / defig- contaggion -risk- in -2026- inside- the- kelp-dao- - krisis /
