David Schwartz, CTO Emeritus bei Ripple, identifizierte ein Muster bei Brücken-Sicherheitslücken, nachdem die Kelp DAO rsETH-Bridge für ungefähr $292 million ausgenutzt wurde. Bei seiner Bewertung von DeFi-Brückensystemen für die Nutzung von RLUSD stellte Schwartz fest, dass Brückenanbieter ihre jeweils robustesten Sicherheitsmechanismen konsequent zugunsten von Bequemlichkeit zurückgestellt haben; ein Muster, von dem er glaubt, dass es zum Kelp-DAO-Vorfall beigetragen haben könnte.
The Security Features Sales Pitch
In seiner Analyse, die er auf X teilte, beschrieb Schwartz, wie Brückenanbieter fortschrittliche Sicherheitsfunktionen prominent anpriesen und sie dann sofort als optional darstellten. „Sie haben im Allgemeinen effektiv empfohlen, die wichtigsten Sicherheitsmechanismen nicht zu verwenden, weil sie Bequemlichkeit und Bedienungsaufwand mit Komplexitätskosten mit sich bringen“, schrieb er.
Schwartz stellte fest, dass es in den Diskussionen zur Bewertung von RLUSD vor allem um Einfachheit und die leichte Hinzufügung mehrerer Chains ging – „unter der unausgesprochenen Annahme, dass wir es nicht für nötig halten würden, die besten Sicherheitsfunktionen zu nutzen, die sie hatten“. Er fasste den Widerspruch so zusammen: „Ihr Verkaufsargument war, dass sie die besten Sicherheitsfunktionen haben, aber dass sie leicht zu verwenden und zu skalieren sind – in der Annahme, dass man die Sicherheitsfunktionen nicht nutzt.“
What Happened to Kelp DAO
Am 19. April identifizierte Kelp DAO verdächtige plattformübergreifende Aktivitäten im Zusammenhang mit rsETH und pausierte Verträge über Mainnet sowie mehrere Layer-2-Netzwerke hinweg. Ungefähr 116.500 rsETH wurden über LayerZero-bezogene Vertragsaufrufe abgezogen, im Wert von rund $292 million zu aktuellen Preisen.
Eine On-Chain-Analyse von D2 Finance führte die Ursache auf einen privaten Schlüsselabfluss in der Quell-Chain zurück, der ein Vertrauensproblem mit OApp-Knoten erzeugte, das der Angreifer ausnutzte, um die Bridge zu manipulieren.
LayerZero Security Configuration
LayerZero selbst bietet robuste Sicherheitsmechanismen, darunter dezentrale Verifikationsnetzwerke. Schwartz stellte die Hypothese auf, dass ein Teil des Problems daher rühren könnte, dass Kelp DAO nicht aus „Bequemlichkeit“ die wichtigsten Key LayerZero-Sicherheitsfunktionen nutzen wollte.
Untersuchungen prüfen, ob Kelp DAO seine LayerZero-Implementierung mit einem minimalen Sicherheits-Setup konfiguriert hat – konkret mit einem einzelnen Punkt des Versagens, wobei LayerZero Labs als einziger Verifizierer fungiert – statt die komplexeren, aber deutlich sichereren Optionen zu nutzen, die über das Protokoll verfügbar sind.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Kelp-DAO-Hack wird der Lazarus-Gruppe zugeschrieben; eth.limo Domain Hijacked via Social Engineering
LayerZero meldete, dass der Kelp-DAO-Exploit, der der Lazarus-Gruppe aus Nordkorea zugeschrieben wird, aufgrund von Schwachstellen in ihrem dezentralen Verifier-Netzwerk zu einem Verlust von $292 Millionen in rsETH-Token führte. Zusätzlich war eth.limo von einem DNS-Entführerangriff (Domain Hijacking) im Rahmen eines Social-Engineering-Angriffs betroffen, doch DNSSEC verhinderte einen schwerwiegenden Schaden.
GateNews4Std her
DeFi-Hack löst $9 Milliarden Abflüsse von Aave aus, nachdem gestohlene Tokens als Sicherheiten verwendet wurden
Ein kürzlich erfolgter Hack, der fast $300 Millionen aus einem Krypto-Projekt abgezogen hat, führte zu einer Liquiditätskrise auf Aave und veranlasste Nutzer, rund $9 Milliarden abzuziehen. Bedenken hinsichtlich der Qualität der Sicherheiten lösten massenhafte Abhebungen aus und machten Risiken im DeFi-Kreditwesen deutlich.
GateNews4Std her
Ethereum-Phishing-Angriff entzieht $585K From Four Users, Ein einzelnes Opfer verliert $221K WBTC
Ein koordinierter Ethereum-Phishing-Angriff entleerte $585,000 von vier Opfern, indem er Nutzerberechtigungen über einen täuschend echten Link ausnutzte. Dieser Vorfall zeigt den schnellen Verlust von Geldern durch Social Engineering, selbst wenn alles wie Seriosität aussieht.
GateNews6Std her
Achten Sie auf den Inhalt der Signatur! Vercel wurde mit 2 Millionen US-Dollar erpresst, die Frontend-Sicherheit des Krypto-Protokolls schlägt Alarm
Die Cloud-Entwicklungsplattform Vercel wurde am 19. April von Hackern angegriffen. Die Angreifer erlangten über ein von Mitarbeitern genutztes Drittanbieter-KI-Tool Zugriffsberechtigungen und drohten mit einer Erpressung über 2 Millionen US-Dollar. Obwohl keine sensiblen Daten abgerufen wurden, könnten andere Daten möglicherweise bereits missbraucht worden sein. Das Ereignis hat Sicherheitsbedenken in der Krypto-Community ausgelöst; Vercel führt derzeit Untersuchungen durch und empfiehlt den Nutzern, ihre Schlüssel zu ändern.
ChainNewsAbmedia7Std her
KelpDAO verliert $290M bei einem LayerZero-Angriff auf der Lazarus Group
KelpDAO erlittt aufgrund einer ausgeklügelten Sicherheitsverletzung, die mit der Lazarus Group in Verbindung steht, einen Verlust von $290 Millionen. Der Angriff nutzte Schwächen in der Konfiguration ihres Verifizierungssystems aus und machte die Risiken deutlich, die mit einem Einpunkt-Verifizierungs-Setup verbunden sind. Branchenexperten betonen, wie wichtig verbesserte Sicherheitskonfigurationen und eine mehrschichtige Verifizierung sind, um zukünftige Vorfälle zu verhindern.
CryptoFrontier8Std her
LayerZero reagiert auf den Vorfall über 292 Millionen von Kelp DAO: Dabei handelt es sich um eine benutzerdefinierte 1-von-1-DVN-Konfiguration von Kelp, der Hacker ist North Korean Lazarus
LayerZero hat eine Stellungnahme zum Kelp-DAO-Vorfall über 292 Millionen US-Dollar abgegeben und macht Kelp dafür verantwortlich, dass die Angelegenheit durch eine selbst festgelegte 1-von-1-DVN-Konfiguration ermöglicht wurde. Als Angreifer wird die nordkoreanische Lazarus-Gruppe genannt. LayerZero betont, dass der Vorfall auf Konfigurationsentscheidungen zurückzuführen sei, und werde derartige anfällige Setups nicht länger unterstützen. Darüber hinaus bleibt die Frage der Verantwortlichkeit umstritten, und es wurde kein Entschädigungsplan bereitgestellt.
ChainNewsAbmedia8Std her
