瑞波首席技術官:Kelp DAO 被利用事件反映了跨鏈橋安全性的取捨
David Schwartz,Ripple 的榮譽首席技術官(CTO Emeritus),在 Kelp DAO rsETH 代幣橋遭到約 $292 百萬規模的利用攻擊之後,辨識出橋接安全漏洞中的一種模式。在他針對 RLUSD 用途評估去中心化金融(DeFi)橋接系統時,Schwartz 觀察到,橋接提供者會一再把其最強大的安全機制降為次要,轉而優先考量便利性;他認為這種模式可能助長了 Kelp DAO 事件。
The Security Features Sales Pitch
在他於 X 上分享的分析中,Schwartz 描述了橋接提供者如何把先進的安全功能放在宣傳重點上,接著又立刻建議這些功能是「可選的」。「他們通常實際上是在建議不要去使用最重要的安全機制,因為那會有便利性以及作業上的複雜度成本,」他寫道。
Schwartz 指出,在進行 RLUSD 評估的討論時,供應商強調「簡單」以及「輕鬆加入多條鏈」時,背後隱含的假設是「我們不會去使用他們所具備的最佳安全功能」。他總結了這種矛盾:「他們的銷售話術是:他們有最好的安全功能,而且用起來容易、能擴展,前提是你不要使用這些安全功能。」
What Happened to Kelp DAO
4 月 19 日,Kelp DAO 識別出涉及 rsETH 的可疑跨鏈活動,並在主網以及多個第二層(Layer 2)網路中暫停合約。約有 116,500 rsETH 透過與 LayerZero 相關的合約呼叫被排出,按目前價格計算約 $292 百萬。
D2 Finance 的鏈上分析將根因追溯到來源鏈上私鑰外洩,這導致與 OApp 節點之間的信任問題;攻擊者正是利用這個問題來操縱該橋。
LayerZero Security Configuration
LayerZero 本身提供強健的安全機制,包括去中心化的驗證網路。Schwartz 推測,問題的一部分可能來自 Kelp DAO 出於「便利」而選擇不使用關鍵的 LayerZero 安全功能。
調查人員正檢視 Kelp DAO 是否使用了最小化的安全設定來部署其 LayerZero 實作——也就是只設有單一故障點,並以 LayerZero Labs 作為唯一驗證者——而不是使用協議所提供、雖然更複雜但安全性顯著更高的選項。
相關文章
