David Schwartz, CTO Emérito da Ripple, identificou um padrão em vulnerabilidades de segurança em pontes após a ponte rsETH da Kelp DAO ter sido explorada por aproximadamente $292 milhões. Durante a sua avaliação de sistemas de bridging DeFi para uso de RLUSD, Schwartz observou que os fornecedores de pontes desvalorizavam consistentemente os seus mecanismos de segurança mais robustos em favor da conveniência, um padrão que acredita poder ter contribuído para o incidente da Kelp DAO.
A Abordagem de Vendas das Funcionalidades de Segurança
Na sua análise partilhada no X, Schwartz descreveu como os fornecedores de pontes promoviam de forma proeminente funcionalidades de segurança avançadas e, logo de seguida, sugeriam que essas funcionalidades eram opcionais. “Em geral, recomendam na prática não se preocupar em utilizar os mecanismos de segurança mais importantes porque têm custos de conveniência e de complexidade operacional”, escreveu.
Schwartz notou que, durante as discussões de avaliação do RLUSD, os fornecedores destacaram a simplicidade e a facilidade de adicionar múltiplas cadeias “com a suposição implícita de que não nos preocuparíamos em utilizar as melhores funcionalidades de segurança de que dispunham”. Resumiu a contradição: “A abordagem de vendas era que têm as melhores funcionalidades de segurança, mas são fáceis de usar e escalar, assumindo que não utiliza as funcionalidades de segurança.”
O que Aconteceu à Kelp DAO
A 19 de abril, a Kelp DAO identificou uma atividade suspeita entre cadeias envolvendo rsETH e colocou contratos em pausa em mainnet e em várias redes de Layer 2. Aproximadamente 116.500 rsETH foram drenados através de chamadas de contratos relacionadas com LayerZero, no valor de cerca de $292 milhões aos preços atuais.
A análise on-chain da D2 Finance apontou a causa raiz para uma fuga de chave privada na cadeia de origem, que criou um problema de confiança com nós OApp que o atacante explorou para manipular a ponte.
Configuração de Segurança do LayerZero
O próprio LayerZero oferece mecanismos de segurança robustos, incluindo redes de verificação descentralizadas. Schwartz levantou a hipótese de que parte do problema pode advir de a Kelp DAO ter optado por não utilizar funcionalidades-chave de segurança do LayerZero “por conveniência”.
Os investigadores estão a avaliar se a Kelp DAO configurou a sua implementação do LayerZero com uma configuração mínima de segurança—especificamente, um único ponto de falha com a LayerZero Labs como único verificador—em vez de utilizar as opções mais complexas, mas significativamente mais seguras, disponíveis através do protocolo.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Sete oficiais israelitas acusados num esquema de roubo de cripto de vários milhões de dólares
Forças de Segurança israelitas acusadas num caso de furto de criptomoedas
As autoridades israelitas acusaram sete militares e polícias de liderarem uma rede de furto e subornos de vários milhões de dólares envolvendo criptomoeda, assinalando o segundo caso criminal relacionado com cripto a atingir o estabelecimento de defesa do país em
CryptoFrontier1h atrás
A Ice Open Network sofre uma violação de dados; e-mails de utilizadores e números de telefone 2FA expostos
A Ice Open Network comunicou uma violação de segurança a 15 de abril, revelando acesso não autorizado a dados de utilizadores, incluindo endereços de e-mail e números de telefone 2FA, mas sem dados financeiros comprometidos. O incidente, ligado a ex-parceiros de um fornecedor de serviços, está em revisão legal, e os utilizadores são aconselhados a atualizar as definições de segurança. A violação evidencia problemas de segurança em escalada no sector das criptomoedas, com perdas significativas reportadas nos últimos meses.
GateNews4h atrás
A bolsa de cripto russa Grinex encerra operações após $13M ataque informático, pondo em risco a rede de evasão a sanções
A bolsa de criptomoedas russa Grinex cessou as operações após um ciberataque que causou perdas superiores a $13 milhões. O encerramento afecta a capacidade das empresas russas de converter rublos a nível internacional e coloca desafios ao sistema de finanças paralelas do país.
GateNews6h atrás
Hack ao Kelp DAO Atribuído ao Grupo Lazarus; Sequestro de Domínio do eth.limo via Engenharia Social
A LayerZero comunicou que o exploit do Kelp DAO, atribuído ao grupo Lazarus da Coreia do Norte, levou a uma perda de $292 milhões em tokens rsETH devido a vulnerabilidades na sua rede descentralizada de verificadores. Além disso, o eth.limo enfrentou um sequestro de domínio por meio de um ataque de engenharia social, mas o DNSSEC mitigou danos graves.
GateNews10h atrás
Hack DeFi provoca $9 mil milhões em saídas de fundos do Aave, à medida que tokens roubados são usados como colateral
Uma recente falha de segurança (hack) que drenou quase $300 milhões de um projecto cripto levou a uma crise de liquidez no Aave, fazendo com que os utilizadores retirassem cerca de $9 mil milhões. As preocupações com a qualidade da garantia (colateral) levaram a levantamentos em massa, evidenciando riscos no crédito DeFi (financiamento descentralizado).
GateNews11h atrás
