Дэвид Шварц, CTO Emeritus в Ripple, выявил закономерность в уязвимостях мостовой безопасности после того, как Kelp DAO rsETH bridge был скомпрометирован примерно на $292 миллионов. Во время своей оценки DeFi-систем мостов для использования RLUSD Шварц заметил, что поставщики мостов неизменно отдавали приоритет удобству, а не самым надежным механизмам безопасности, и полагает, что эта закономерность могла способствовать инциденту с Kelp DAO.
The Security Features Sales Pitch
В своем анализе, опубликованном в X, Шварц описал, как поставщики мостов делали акцент на передовых функциях безопасности, а затем сразу же предлагали, что эти функции являются опциональными. «Они в целом фактически рекомендовали не пользоваться самыми важными механизмами безопасности, потому что за это приходится платить удобством и эксплуатационной сложностью», — написал он.
Шварц отметил, что в ходе обсуждений оценки RLUSD поставщики подчеркивали простоту и легкость добавления нескольких цепочек «при неявном предположении, что мы не будем пользоваться их лучшими функциями безопасности». Он подвел итог этому противоречию: «Их торговая подача заключалась в том, что у них лучшие функции безопасности, но они просты в использовании и масштабируются — при условии, что вы не используете функции безопасности».
Что произошло с Kelp DAO
19 апреля Kelp DAO обнаружила подозрительную кроссчейн-активность с участием rsETH и приостановила контракты в основной сети и в нескольких сетях уровня 2. Примерно 116,500 rsETH было выведено через вызовы контрактов, связанных с LayerZero, что составляет около $292 миллионов по текущим ценам.
Ончейн-анализ от D2 Finance установил первопричину как утечку приватного ключа в исходной цепочке, что создало проблему доверия с узлами OApp, которую злоумышленник использовал для манипулирования мостом.
LayerZero Security Configuration
Сам LayerZero предлагает надежные механизмы безопасности, включая децентрализованные сети верификации. Шварц предположил, что часть проблемы может быть связана с тем, что Kelp DAO выбрала не использовать ключевые функции безопасности LayerZero «из-за удобства».
Следователи выясняют, настроила ли Kelp DAO свою реализацию LayerZero с использованием минимальной схемы безопасности — в частности, с единой точкой отказа, где LayerZero Labs является единственным верификатором, — вместо применения более сложных, но существенно более безопасных вариантов, доступных через протокол.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Защитные ставки Polymarket показывают необычно высокие коэффициенты выигрыша, вызывая опасения по поводу инсайдерской торговли
Новые данные о Polymarket показывают необычно высокие коэффициенты выигрыша в ставках, связанных с оборонной тематикой, что вызывает опасения о возможной инсайдерской торговле в военной сфере. Анализ показывает, что всего 3% трейдеров формируют рыночные цены, в то время как менее 1% получают основную долю прибыли, указывая на крайне
GateNews31м назад
Северокорейские хакеры украли $600M в апреле у Drift Protocol и атаковали Kelp DAO
Согласно TRM Labs, хакеры, связанные с Северной Кореей, в апреле похитили в криптовалюте примерно 600 миллионов долларов в результате атак на Drift Protocol и Kelp DAO; на их долю пришлось 76% всех потерь за месяц. В отчёте оценивается, что с 2017 года хакеры, связанные с Северной Кореей, похитили более 6 миллиардов долларов
GateNews4ч назад
Syndicate потеряла $380K в активах из-за утечки приватного ключа, мостовые контракты были вредоносно обновлены 1 мая
Согласно официальному заявлению Syndicate от 1 мая, утечка приватного ключа привела к вредоносным обновлениям контрактов моста на двух блокчейнах, в результате чего были похищены приблизительно 18,5 миллиона токенов SYND (на сумму 330 тыс. долларов) и $50K из средств клиентов. Компания объяснила уязвимость тем, что priva
GateNews5ч назад
Северокорейские хакеры выводят 285 миллионов долларов с Drift в ходе многомесячной операции
Согласно анализу исследовательской фирмы в области кибербезопасной разведки, поддерживаемые Северной Кореей хакеры похитили 285 миллионов долларов у Drift в ходе длительной очной операции в 2026 году. Хакеры составляют 76% всех потерь от криптомошенничеств и взломов в этом году и украли 6 миллиардов долларов
GateNews5ч назад
