Ripple 前首席技术官名誉主席 David Schwartz 在 Kelp DAO 的 rsETH 桥遭约 $292 百万次利用之后,识别出了桥接安全漏洞中的一种模式。在他评估用于 RLUSD 的 DeFi 桥接系统时,Schwartz 观察到桥接服务提供商会一贯将其最强大的安全机制降到优先级较低位置,以换取便利性;他认为这种模式可能促成了 Kelp DAO 事件。
安全功能推销话术
在他于 X 上分享的分析中,Schwartz 描述了桥接服务提供商如何将先进的安全功能进行醒目推介,随后又立刻暗示这些功能是可选的。“他们通常实际上建议不要使用最重要的安全机制,因为这样有便利性,并且避免了带来的运营复杂度成本,”他写道。
Schwartz 指出,在 RLUSD 评估讨论过程中,服务提供商强调简洁性以及“方便添加多条链”,而“隐含前提是我们不会去使用他们所拥有的最佳安全功能”。他总结这种矛盾:“他们的销售话术是他们拥有最好的安全功能,同时它们易于使用、可扩展,前提是你不使用这些安全功能。”
Kelp DAO 发生了什么
4 月 19 日,Kelp DAO 识别到涉及 rsETH 的可疑跨链活动,并在主网以及多个二层网络上暂停了合约。通过与 LayerZero 相关的合约调用,约有 116,500 rsETH 被转走,按当前价格计算约为 $292 million。
来自 D2 Finance 的链上分析将根因追溯到源链上的私钥泄露,这制造了与 OApp 节点之间的信任问题;攻击者正是利用该问题来操纵该桥。
LayerZero 安全配置
LayerZero 本身提供强大的安全机制,包括去中心化的验证网络。Schwartz 推测,问题的一部分可能源于 Kelp DAO 因“出于便利”而选择不使用关键的 LayerZero 安全功能。
调查人员正在审查:Kelp DAO 是否使用了最小化的安全设置来配置其 LayerZero 实现——具体来说,是仅将 LayerZero Labs 作为唯一验证者,从而形成单点故障,而不是使用协议中提供的更复杂但显著更安全的选项。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
七名以色列军官被控涉及数百万美元的加密货币盗窃犯罪集团
以色列安全部队被指控参与加密盗窃案
以色列当局已指控七名军警人员,涉嫌经营一个涉及加密货币的数百万美元盗窃与受贿团伙,这标志着第二起与加密货币相关的刑事案件冲击了该国的国防机构,此前
Crypto Frontier1小时前
Ice Open Network 遭遇数据泄露;用户电子邮件与 2FA 电话号码被曝
Ice Open Network 于 4 月 15 日报告发生安全漏洞,泄露了用户数据的未经授权访问情况,包括电子邮件地址和 2FA 电话号码,但未发现财务数据遭到破坏。该事件与某服务提供商的前合作伙伴有关,目前正接受法律审查,并建议用户更新安全设置。该漏洞凸显加密行业的安全问题正在升级,近期有重大损失报告。
GateNews4小时前
俄罗斯加密货币交易所 Grinex 在遭遇 $13M 黑客袭击后停止运营,威胁制裁规避网络
俄罗斯加密货币交易所 Grinex 在遭受网络攻击后停止运营,导致损失超过 $13 百万。此次停摆影响了俄罗斯企业将卢布在国际范围内进行兑换的能力,并对该国用于规避制裁的影子金融体系构成挑战。
GateNews6小时前
Kelp DAO 黑客事件归因于 Lazarus Group;eth.limo 通过社工攻击遭域名劫持
LayerZero 报道称,Kelp DAO 漏洞利用事件(归因于朝鲜的 Lazarus Group)导致其去中心化验证器网络中的漏洞,造成 $292 百万枚 rsETH 代币损失。 此外,eth.limo 还遭受了来自社工攻击(social engineering)的域名劫持,但 DNSSEC 缓解了严重损害。
GateNews10小时前
DeFi 黑客事件引发 Aave 资金净流出 $9 十亿美元:被盗代币作为抵押使用
最近一次黑客攻击从一个加密项目中盗走了近 $300 百万美元,导致 Aave 出现流动性危机,使用户撤回了约 $9 十亿美元。对抵押品质量的担忧促成了大规模提款,凸显了 DeFi 借贷中的风险。
GateNews11小时前
