David Schwartz, CTO Emeritus tại Ripple, đã xác định một mẫu hình trong các lỗ hổng bảo mật của cầu nối sau khi cầu rsETH của Kelp DAO bị khai thác với khoảng $292 triệu. Trong quá trình đánh giá các hệ thống chuyển tiếp DeFi cho việc sử dụng RLUSD, Schwartz nhận thấy rằng các nhà cung cấp cầu nối luôn hạ thấp mức ưu tiên cho các cơ chế bảo mật mạnh nhất của họ để đổi lấy sự tiện lợi; ông tin rằng mẫu hình này có thể đã góp phần vào sự cố tại Kelp DAO.
Lời Chào Bán Các Tính Năng Bảo Mật
Trong phần phân tích được ông chia sẻ trên X, Schwartz mô tả cách các nhà cung cấp cầu nối đã giới thiệu các tính năng bảo mật nâng cao một cách nổi bật, rồi ngay lập tức đề xuất rằng các tính năng đó là tùy chọn. “Về cơ bản, họ đã khuyến nghị rằng không nên sử dụng các cơ chế bảo mật quan trọng nhất vì chúng có chi phí về sự tiện lợi và độ phức tạp trong vận hành,” ông viết.
Schwartz nhận xét rằng trong các cuộc thảo luận đánh giá RLUSD, các nhà cung cấp nhấn mạnh sự đơn giản và khả năng thêm nhiều chuỗi “với giả định ngầm rằng chúng tôi sẽ không bận tâm sử dụng các tính năng bảo mật tốt nhất mà họ có.” Ông tóm tắt sự mâu thuẫn: “Chiêu chào bán của họ là họ có các tính năng bảo mật tốt nhất nhưng lại dễ dùng và có thể mở rộng, với điều kiện là bạn không sử dụng các tính năng bảo mật.”
Điều Gì Đã Xảy Ra Với Kelp DAO
Vào ngày 19 tháng 4, Kelp DAO đã xác định hoạt động xuyên chuỗi đáng ngờ liên quan đến rsETH và tạm dừng các hợp đồng trên toàn bộ mainnet và nhiều mạng Layer 2. Khoảng 116.500 rsETH đã bị rút cạn thông qua các lệnh gọi hợp đồng liên quan đến LayerZero, trị giá vào khoảng $292 triệu theo giá hiện tại.
Phân tích on-chain từ D2 Finance truy ra nguyên nhân gốc rễ là rò rỉ khóa cá nhân trên chuỗi nguồn, từ đó tạo ra vấn đề về niềm tin với các nút OApp mà kẻ tấn công đã khai thác để thao túng cầu.
Cấu Hình Bảo Mật LayerZero
Bản thân LayerZero cung cấp các cơ chế bảo mật vững chắc, bao gồm các mạng xác minh phi tập trung. Schwartz giả thuyết rằng một phần của vấn đề có thể bắt nguồn từ việc Kelp DAO lựa chọn không sử dụng các tính năng bảo mật quan trọng cốt lõi của LayerZero “vì sự tiện lợi”.
Các nhà điều tra đang xem xét liệu Kelp DAO có cấu hình việc triển khai LayerZero của mình theo một thiết lập bảo mật tối thiểu—cụ thể là một điểm lỗi duy nhất với LayerZero Labs làm bên xác minh duy nhất—thay vì sử dụng các tùy chọn phức tạp hơn nhưng đáng kể là an toàn hơn sẵn có thông qua giao thức.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
BIS Cảnh Báo Stablecoin Được Định Giá Bằng Đô La Như USDT và USDC Gây Rủi Ro Ổn Định Tài Chính
Tin tức từ Gate, ngày 21 tháng 4 — Ngân hàng Thanh toán Quốc tế (BIS) đã một lần nữa nhấn mạnh những lo ngại về stablecoin, với Giám đốc điều hành Pablo Hernandez de Cos cảnh báo rằng các stablecoin được định giá bằng đô la như USDT và USDC về căn bản rủi ro hơn so với nhận định thông thường.
Cos cho biết rằng
GateNews25phút trước
Người sáng lập Curve Egorov chỉ trích kiến trúc DeFi sau khoản lỗ $750M trong năm nay
Tin tức Gate, ngày 21 tháng 4 — Người gửi tiền DeFi đã gặp sự cố rút tiền trong suốt cuối tuần trên nhiều giao thức lớn bao gồm Aave, rsETH và LayerZero, khiến người sáng lập Curve Finance là Michael Egorov phải công khai chỉ trích cách tiếp cận kiến trúc của ngành. "Chúng ta có phải là một ngành toàn hề?" Egorov
GateNews55phút trước
Hội đồng An ninh Arbitrum phong tỏa 30.766 ETH từ vụ khai thác KelpDAO, 9/12 thành viên bỏ phiếu ủng hộ
Arbitrum đã phong tỏa 30.766 ETH từ vụ hack KelpDAO, phối hợp với cơ quan thực thi pháp luật và thu hồi khoảng một phần tư tài sản, đồng thời khóa số tiền cho đến khi có quyết định của cơ quan quản trị giữa các tranh luận về phi tập trung so với an ninh.
Tóm tắt: Bài viết này cho biết Hội đồng An ninh Arbitrum đã phong tỏa 30.766 ETH (khoảng $70 triệu)gắn với lỗ hổng khai thác KelpDAO, với 9/12 phiếu bầu, và chuyển tiền sang một ví an toàn khi phối hợp với cơ quan thực thi pháp luật. Chiến dịch chỉ nhắm đến các tài sản bị ảnh hưởng để giảm thiểu gián đoạn mạng. Kẻ khai thác bị nghi ngờ có liên hệ với DPRK. Vụ xâm nhập bắt đầu vào ngày 18 tháng 4 thông qua một cầu nối được hỗ trợ bởi LayerZero, rút cạn 116.500 rsETH (~$292 triệu). Khoảng một phần tư số tài sản bị đánh cắp đã được thu hồi. Số tiền bị phong tỏa sẽ tiếp tục bị khóa cho đến khi cơ quan quản trị và các cơ quan pháp lý quyết định bước tiếp theo, làm dấy lên tranh luận về phi tập trung so với an ninh.
GateNews1giờ trước
Kẻ lừa đảo giả làm cơ quan chức năng của Iran để tống tiền chủ tàu mắc kẹt bằng Bitcoin và Tether
Tin tức Cổng, ngày 21 tháng 4 — Các đối tượng không rõ danh tính đã gửi tin nhắn gian lận đến các công ty vận tải biển, với những tàu bị mắc kẹt ở phía tây eo biển Hormuz, tuyên bố là cơ quan chức năng của Iran và đề nghị cho đi qua an toàn để đổi lấy các khoản phí được thanh toán bằng Bitcoin hoặc Tether, theo công ty rủi ro của Hy Lạp MARISKS. Bản tin
GateNews2giờ trước
Cập nhật sự kiện Aave rsETH: Core V3 WETH được giải đông, năm kho dự trữ lớn vẫn bị đóng băng
Aave đã công bố trên nền tảng X vào ngày 21 tháng 4 rằng dự trữ WETH trên thị trường Ethereum Core V3 đã được mở khóa và người dùng có thể tiếp tục cung cấp lại WETH cho Ethereum Core V3; tỷ lệ giá trị khoản vay WETH (LTV) vẫn giữ ở mức 0. Dự trữ WETH trên Ethereum Prime, Arbitrum, Base, Mantle và Linea vẫn đang tiếp tục bị đóng băng.
MarketWhisper3giờ trước
Phụ nữ Hồng Kông mất 7,7 triệu HKD trong crypto sau khi mắc bẫy lừa đảo giao dịch bằng AI
Một phụ nữ ở Hồng Kông đã mất 7,7 triệu HKD cho một kẻ lừa đảo giả làm chuyên gia đầu tư trên Telegram, hứa hẹn lợi nhuận cao với rủi ro thấp. Sau khi chuyển tiền nhiều lần, cô không thể rút tiền của mình, qua đó lộ ra hành vi gian lận. Cảnh sát đã cảnh báo về những vụ lừa đảo như vậy.
GateNews3giờ trước
