Девід Шварц, CTO Emeritus у Ripple, виявив закономірність у вразливостях безпеки мостів після того, як Kelp DAO rsETH-міст був експлойтнутий приблизно на $292 мільйон. Під час оцінювання DeFi-систем бриджування для використання RLUSD Шварц помітив, що постачальники мостів систематично знижували пріоритет своїх найнадійніших механізмів безпеки на користь зручності — закономірність, яку він вважає такою, що могла сприяти інциденту з Kelp DAO.
Презентація безпекових функцій
У своєму аналізі, яким він поділився у X, Шварц описав, як постачальники мостів просували на перший план передові функції безпеки, а потім одразу ж пропонували, що ці функції є опційними. «Зазвичай вони фактично рекомендували не користуватися найважливішими механізмами безпеки, тому що є витрати, пов’язані зі зручністю та операційною складністю», — написав він.
Шварц зазначив, що під час обговорень оцінювання RLUSD постачальники робили акцент на простоті та легкості додавання кількох мереж «за замовчуванням, що ми не будемо користуватися найкращими функціями безпеки, які в них є». Він підсумував суперечність: «Їхня торгова пропозиція була в тому, що в них є найкращі функції безпеки, але ними легко користуватися й вони масштабуються — за умови, що ви не використовуєте функції безпеки».
Що сталося з Kelp DAO
19 квітня Kelp DAO виявив підозрілу кросчейн-активність із rsETH і призупинив контракти в основній мережі та на кількох мережах рівня 2. Приблизно 116,500 rsETH було виведено через виклики контрактів, пов’язаних із LayerZero, що становить близько $292 мільйонів за поточними цінами.
Ончейн-аналіз від D2 Finance встановив першопричину як витік приватного ключа в вихідній мережі, що створив проблему довіри для вузлів OApp, яку атакувальник використав для маніпулювання мостом.
Налаштування безпеки LayerZero
Сам LayerZero пропонує надійні механізми безпеки, зокрема децентралізовані мережі верифікації. Шварц припустив, що частина проблеми може полягати в тому, що Kelp DAO вирішив не використовувати ключові функції безпеки LayerZero «з міркувань зручності».
Дослідники з’ясовують, чи налаштував Kelp DAO свою реалізацію LayerZero, використовуючи мінімальну схему безпеки — зокрема, єдину точку відмови з LayerZero Labs як єдиним верифікатором — замість того, щоб використовувати більш складні, але значно безпечніші опції, доступні через протокол.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Ice Open Network зазнала витоку даних; Електронні листи користувачів і номери телефонів 2FA були розкриті
Ice Open Network повідомила про порушення безпеки 15 квітня, виявивши несанкціонований доступ до даних користувачів, зокрема адрес електронної пошти та номерів телефонів для 2FA, але без компрометації фінансових даних. Інцидент, пов'язаний з колишніми партнерами постачальника послуг, перебуває на юридичному розгляді, а користувачам радять оновити налаштування безпеки. Порушення підкреслює загострення проблем із безпекою в криптосекторі, при цьому за останні місяці повідомлялося про суттєві збитки.
GateNews58хв. тому
Російська криптобіржа Grinex зупиняє роботу після $13M хаку, загрожуючи мережі обходу санкцій
Російська криптовалютна біржа Grinex припинила роботу після кібератаки, яка спричинила збитки понад $13 мільйон. Зупинка впливає на здатність російських компаній конвертувати рублі на міжнародному рівні та створює труднощі для системи тіньових фінансів країни.
GateNews3год тому
Хак Kelp DAO, приписаний групі Lazarus; домен eth.limo перехоплено через соціальну інженерію
LayerZero повідомила, що експлойт Kelp DAO, якому приписують групу Lazarus з Північної Кореї, призвів до втрати $292 мільйона токенів rsETH через уразливості її децентралізованої мережі верифікаторів. Крім того, eth.limo зіткнулася з перехопленням домену внаслідок атаки соціальної інженерії, але DNSSEC пом’якшив серйозні наслідки.
GateNews7год тому
DeFi-хак спричинив відтік на $9 мільярда з Aave, оскільки викрадені токени використовувалися як застава
Нещодавній хак, який вивів майже $300 мільйонів із криптопроєкту, призвів до кризи ліквідності на Aave, через що користувачі вивели близько $9 мільярда. Сумніви щодо якості застави спричинили масові вилучення, підкресливши ризики в DeFi-кредитуванні.
GateNews7год тому
Фішингова атака на Ethereum викрадає $585K У чотирьох користувачів, один потерпілий втрачає $221K WBTC
У скоординованій фішинговій атаці на Ethereum було викрадено $585,000 у чотирьох потерпілих, використовуючи дозволи користувачів через оманливе посилання. Цей інцидент демонструє швидку втрату коштів через соціальну інженерію навіть під виглядом законності.
GateNews9год тому
Зверніть увагу на підписані документи! Vercel зазнав вимагання 2 мільйони доларів, криптовалютний протокол піднімає тривогу через безпеку фронтенду
Хмарна платформа розробки Vercel 19 квітня зазнала злому: зловмисники отримали доступ через сторонній інструмент ШІ, яким користуються працівники, та висунули вимогу про викуп у розмірі 2 мільйони доларів США. Хоча доступу до конфіденційних даних не було, інші дані, імовірно, могли бути використані. Ця подія викликала занепокоєння безпекою в криптоспільноті; Vercel наразі проводить розслідування та рекомендує користувачам змінити ключі.
ChainNewsAbmedia11год тому
