David Schwartz, CTO émérite chez Ripple, a identifié un schéma dans les vulnérabilités de sécurité des ponts après que le pont rsETH de Kelp DAO a été exploité pour environ $292 million. Lors de son évaluation des systèmes de pont DeFi pour l’usage du RLUSD, Schwartz a observé que les fournisseurs de ponts mettaient systématiquement en priorité moindre leurs mécanismes de sécurité les plus robustes au profit de la commodité, un schéma qu’il pense avoir pu contribuer à l’incident de Kelp DAO.
Le pitch de vente des fonctionnalités de sécurité
Dans son analyse partagée sur X, Schwartz a décrit comment les fournisseurs de ponts faisaient la promotion de fonctionnalités de sécurité avancées de manière très visible, puis suggéraient immédiatement que ces fonctionnalités étaient optionnelles. « En pratique, ils ont généralement recommandé de ne pas utiliser les mécanismes de sécurité les plus importants, parce qu’ils ont des coûts de commodité et de complexité opérationnelle », a-t-il écrit.
Schwartz a noté qu’au cours des discussions d’évaluation du RLUSD, les fournisseurs ont mis l’accent sur la simplicité et la facilité d’ajouter plusieurs chaînes « avec l’hypothèse implicite que nous ne nous donnerions pas la peine d’utiliser les meilleures fonctionnalités de sécurité qu’ils avaient ». Il a résumé la contradiction : « Leur argument de vente, c’était qu’ils ont les meilleures fonctionnalités de sécurité mais qu’elles sont faciles à utiliser et à mettre à l’échelle, en supposant que vous n’utilisiez pas les fonctionnalités de sécurité. »
Ce qui est arrivé à Kelp DAO
Le 19 avril, Kelp DAO a identifié une activité transfrontalière suspecte impliquant rsETH et a mis en pause des contrats sur le réseau principal et sur plusieurs réseaux de couche 2. Environ 116 500 rsETH ont été vidés via des appels de contrats liés à LayerZero, d’une valeur d’environ $292 million aux prix actuels.
L’analyse en chaîne de D2 Finance a retracé la cause racine à une fuite de clé privée sur la chaîne source, qui a créé un problème de confiance avec les nœuds OApp que l’attaquant a exploités pour manipuler le pont.
Configuration de sécurité de LayerZero
LayerZero lui-même offre des mécanismes de sécurité robustes, y compris des réseaux de vérification décentralisés. Schwartz a émis l’hypothèse qu’une partie du problème pourrait venir du fait que Kelp DAO a choisi de ne pas utiliser les fonctionnalités de sécurité clés de LayerZero « par commodité ».
Les enquêteurs examinent si Kelp DAO a configuré son implémentation de LayerZero avec une configuration de sécurité minimale—plus précisément, un point de défaillance unique avec LayerZero Labs comme seul vérificateur—plutôt que d’utiliser les options plus complexes, mais nettement plus sécurisées, disponibles via le protocole.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Des escrocs se font passer pour des autorités iraniennes afin d’extorquer des propriétaires de navires bloqués en Bitcoin et Tether
Message de Gate News, 21 avril — Des acteurs inconnus ont envoyé des messages frauduleux à des compagnies maritimes dont les navires étaient immobilisés à l’ouest du détroit d’Ormuz, affirmant être des autorités iraniennes et proposant un passage en toute sécurité contre le paiement de frais en Bitcoin ou Tether, selon le cabinet de risque grec MARISKS. Les messages
GateNewsIl y a 11m
Mise à jour de l’événement Aave rsETH : Déblocage du WETH de Core V3, les réserves des cinq grands marchés restent gelées
Aave a annoncé le 21 avril sur la plateforme X que les réserves de WETH sur le marché Ethereum Core V3 ont été dégelées, et que les utilisateurs peuvent à nouveau approvisionner du WETH vers Ethereum Core V3 ; le ratio de valeur des prêts WETH (LTV) reste à 0. Les réserves de WETH sur Ethereum Prime, Arbitrum, Base, Mantle et Linea restent gelées.
MarketWhisperIl y a 1h
Une femme de Hong Kong perd 7,7 M de HKD en crypto après avoir été victime d’une arnaque de trading par IA
Une femme de Hong Kong a perdu 7,7 millions de HKD à un escroc se faisant passer pour un expert en investissement sur Telegram, promettant des rendements élevés avec un risque faible. Après avoir transféré des fonds à plusieurs reprises, elle n’a pas pu retirer son argent, ce qui a révélé l’escroquerie. La police a mis en garde contre ce type d’arnaques.
GateNewsIl y a 1h
Ice Open Network fait l’objet d’une fuite de données par un initié ; après l’effondrement du token ION, il se restructure pour survivre
Ice Open Network a publié un message sur X le 20 avril, confirmant l’incident de fuite de données survenu la semaine précédente. La cause est que, après la fin des relations d’affaires avec un fournisseur de services tiers, quatre partenaires ont continué d’accéder à des serveurs externes, ce qui a divulgué les adresses e-mail des utilisateurs, les numéros de téléphone associés à la 2FA et des données reliant les identités. Le contexte de cet incident est le suivant : le token ION avait déjà chuté de 93 % il y a deux semaines, et l’équipe du projet traverse une période de vaste restructuration d’urgence.
MarketWhisperIl y a 1h
La Banque des règlements internationaux met en garde : les stablecoins ressemblent davantage à des titres financiers, et les défauts de rachat pourraient déclencher une vague de retraits massifs.
Le directeur général de la Banque des règlements internationaux (BIS), Pablo Hernández de Cos, a averti lundi, lors d’un séminaire de la Banque du Japon, que la taille du marché mondial des stablecoins avait dépassé 315,9 milliards de dollars, mais que son mécanisme de fonctionnement ressemble davantage à des produits d’investissement tels que les ETF qu’à de la véritable monnaie. La BIS indique qu’en cas de rachats à grande échelle, cela déclencherait un effet de contagion de retraits en cascade similaire à celui survenu en 2023 avec la Silicon Valley Bank.
MarketWhisperIl y a 1h
Le fondateur de Curve appelle à des normes de sécurité pour la DeFi dans un contexte de hausse des piratages
Michael Egorov, fondateur de Curve Finance, a mis en évidence les vulnérabilités de l’industrie DeFi après un piratage important. Il a souligné la nécessité de mesures préventives, de normes de sécurité collaboratives et de mécanismes de responsabilité afin de restaurer la confiance et d’assurer une adoption sécurisée dans le secteur.
CryptoFrontierIl y a 2h
