リップルの名誉CTOであるデビッド・シュワルツは、Kelp DAOのrsETHブリッジが約$292 百万ドル規模で悪用された後、ブリッジのセキュリティ脆弱性にあるパターンを特定した。RLUSDの利用を想定したDeFiブリッジング・システムの評価の中で、シュワルツはブリッジ提供者が一貫して、最も堅牢なセキュリティ・メカニズムを利便性のために優先度を下げていたことを観察した。彼は、そのパターンがKelp DAOの件に寄与した可能性があると考えている。

セキュリティ機能の売り込み文句

Xで共有した分析の中で、シュワルツはブリッジ提供者が先進的なセキュリティ機能を目立つように売り込んだ後、すぐにそれらの機能が任意であるかのように提案したと説明した。「彼らは一般的に、利便性と運用・管理の複雑さに伴うコストがあるため、最も重要なセキュリティ・メカニズムを使わないことを推奨しているように見える」と彼は書いている。

シュワルツは、RLUSDの評価に関する議論の中で、提供者が複数のチェーンを「簡単に追加できる」ことを強調し、「私たちは彼らが持つ最良のセキュリティ機能を使うつもりはない」という暗黙の前提が置かれていたと述べた。矛盾をこう要約した。「彼らの売り込み文句は、最高のセキュリティ機能があるが、使いやすくてスケールしやすいので、セキュリティ機能を使わないなら話が早い、というものだった。」

Kelp DAOで何が起きたか

4月19日、Kelp DAOはrsETHに関する不審なクロスチェーン活動を特定し、メインネットおよび複数のレイヤー2ネットワークにまたがる契約を一時停止した。約116,500 rsETHが、LayerZero関連のコントラクト呼び出しを通じて流出し、現行価格で約$292 百万ドルに相当する。

D2 Financeによるオンチェーン分析では、根本原因はソースチェーンでのプライベートキー漏えいだと追跡された。これにより、攻撃者がブリッジを操作するために悪用したOAppノードとの間に信頼上の問題が生じた。

LayerZeroのセキュリティ設定

LayerZero自体は分散型の検証ネットワークなど、堅牢なセキュリティ機能を提供している。シュワルツは、問題の一部はKelp DAOが「利便性のために」重要なLayerZeroのセキュリティ機能を使わないことを選んだことに起因している可能性があると推測した。

捜査当局は、Kelp DAOがLayerZeroの実装を、プロトコルで利用可能なより複雑だが大幅により安全な選択肢ではなく、LayerZero Labsを唯一の検証者とする単一障害点の最小限のセキュリティ設定で構成したのかどうかを調べている。

ソースを表示

免責事項：このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

Ice Open Networkがデータ侵害被害；ユーザーのメールと2FA電話番号が露出

セキュリティインシデント

Ice Open Networkは4月15日にセキュリティ侵害を報告し、不正アクセスによりユーザーデータ（メールアドレスや2FAの電話番号を含む）が漏えいしたことを明らかにしましたが、金融データは侵害されていません。従業員サービス提供者の元パートナーに関連するこの事案は法的な審査中であり、ユーザーにはセキュリティ設定の更新が推奨されています。この侵害は、直近の数か月で大きな損失が報告されているなど、暗号資産分野におけるセキュリティ問題の深刻化を浮き彫りにしています。

GateNews2時間前

ロシアの暗号資産取引所Grinex、$13M ハックの後に稼働停止へ：制裁回避ネットワークに脅威

地政学セキュリティインシデント取引所リスク

ロシアの暗号資産取引所グリネックスは、サイバー攻撃によって$13 百万ドルの損失が発生したことを受けて、事業を停止した。今回の停止は、ロシア企業がルーブルを国際的に換金する能力に影響を与え、同国のシャドーファイナンス・システムの課題となっている。

GateNews4時間前

ラザロス・グループに起因するとされるKelp DAOハック；ソーシャルエンジニアリングでeth.limoドメインが乗っ取られる

ethereum news 地政学執行措置セキュリティインシデント

LayerZeroは、北朝鮮のラザロス・グループに起因するとされるKelp DAOのエクスプロイトにより、分散型検証者ネットワークの脆弱性のためにrsETHトークンで$292 百万の損失が発生したと報告した。さらにeth.limoは、ソーシャルエンジニアリング攻撃によるドメイン乗っ取りに直面したが、DNSSECが深刻な被害を抑えた。

GateNews9時間前

DeFiハックがAaveからの資金流出で$9 Billionドルを誘発――担保に盗難トークンが使用

市場分析資金フローセキュリティインシデント取引所リスク

最近のハックで暗号資産プロジェクトから$300 百万ドルがほぼ流出し、それによりAaveで流動性危機が発生した。ユーザーは約$9 billionドルを引き出した。担保の品質に対する懸念が大規模な引き出しにつながり、DeFiレンディングに潜むリスクが浮き彫りになった。

GateNews9時間前

イーサリアムのフィッシング攻撃で$585K から4人のユーザーが被害、単独の被害者は$221K WBTCを失う

ethereum news セキュリティインシデント

協調的なイーサリアムのフィッシング攻撃により、4人の被害者から$585,000が流出しました。だましのリンクを通じてユーザーの権限を悪用したのです。この事件は、正当性を装っていても、ソーシャルエンジニアリングによって資金が急速に失われる可能性を示しています。

GateNews11時間前

0/400

FoldedCosmosCat

· 15時間前

292M この授業料は高すぎる…

原文表示返信0

0xNap

· 16時間前

LayerZero が非難される可能性が再び高まったが、実際の根本原因はキー管理と過度に簡略化されたセキュリティ設定にある。デフォルト設定をセキュリティ設定と誤認しないでください。

原文表示返信0

SummerNightColdWallet

· 16時間前

今回は業界の橋の最低安全基準を統一できることを期待しています：マルチシグ/閾値、ハードウェア隔離、分散承認、ロールバック/一時停止メカニズム、そうでなければ次のKelpは時間の問題です。

原文表示返信0

ColdBrewSparklingWater

· 16時間前

说白了还是图省事出大事。

返信0

OnchainComplainer

· 16時間前

安全機能が「最適化されて」しまった瞬間に地雷を埋めたことになる。

原文表示返信0

MevStreetPhotographer

· 16時間前

思い出した一言：クロスチェーンブリッジはコードの問題ではなく、運営の安全性の問題だ。秘密鍵の管理、権限の隔離、閾値署名、監査アラート、これらは「迅速な展開」よりもはるかに重要だ。

原文表示返信0