David Schwartz, CTO Emeritus di Ripple, mengidentifikasi pola dalam kerentanan keamanan jembatan setelah bridge rsETH Kelp DAO dieksploitasi untuk sekitar $292 juta. Saat evaluasinya terhadap sistem bridging DeFi untuk penggunaan RLUSD, Schwartz mengamati bahwa penyedia bridge secara konsisten menomorduakan mekanisme keamanan mereka yang paling kuat demi kenyamanan, pola yang menurutnya mungkin telah berkontribusi pada insiden Kelp DAO.
Jurus Penjualan Fitur Keamanan
Dalam analisis yang dibagikannya di X, Schwartz menjelaskan bagaimana penyedia bridge mempromosikan fitur keamanan canggih secara menonjol, lalu segera menyarankan bahwa fitur-fitur tersebut bersifat opsional. “Mereka pada umumnya secara efektif merekomendasikan untuk tidak menggunakan mekanisme keamanan terpenting karena ada biaya kenyamanan dan kompleksitas operasional,” tulisnya.
Schwartz mencatat bahwa selama diskusi evaluasi RLUSD, para penyedia menekankan kesederhanaan dan kemudahan untuk menambahkan beberapa chain “dengan asumsi implisit bahwa kami tidak akan repot menggunakan fitur keamanan terbaik yang mereka miliki.” Ia merangkum kontradiksinya: “Materi promosi mereka adalah bahwa mereka memiliki fitur keamanan terbaik, tetapi mudah digunakan dan bisa diskalakan, dengan asumsi Anda tidak menggunakan fitur keamanan.”
Apa yang Terjadi pada Kelp DAO
Pada 19 April, Kelp DAO mengidentifikasi aktivitas lintas-rantai yang mencurigakan yang melibatkan rsETH dan menjeda kontrak di seluruh mainnet serta beberapa jaringan Layer 2. Sekitar 116.500 rsETH dikuras melalui panggilan kontrak terkait LayerZero, senilai sekitar $292 juta pada harga saat ini.
Analisis on-chain dari D2 Finance menelusuri akar masalahnya ke kebocoran kunci privat pada rantai sumber, yang menciptakan masalah kepercayaan dengan node OApp yang dieksploitasi penyerang untuk memanipulasi jembatan.
Konfigurasi Keamanan LayerZero
LayerZero sendiri menawarkan mekanisme keamanan yang kuat, termasuk jaringan verifikasi terdesentralisasi. Schwartz berspekulasi bahwa sebagian masalah mungkin berasal dari Kelp DAO yang memilih untuk tidak menggunakan fitur keamanan LayerZero kunci “demi kenyamanan.”
Para penyelidik sedang memeriksa apakah Kelp DAO mengonfigurasi implementasi LayerZero-nya dengan pengaturan keamanan minimal—secara khusus, satu titik kegagalan dengan LayerZero Labs sebagai satu-satunya verifier—daripada menggunakan opsi yang lebih kompleks namun jauh lebih aman yang tersedia melalui protokol.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Pembaruan peristiwa Aave rsETH: Core V3 WETH dibekukan, lima cadangan pasar utama masih dibekukan
Aave pada 21 April mengumumkan di platform X bahwa cadangan WETH di pasar Ethereum Core V3 telah dibekukan kembali, sehingga pengguna dapat memasok ulang WETH ke Ethereum Core V3; nilai pinjaman WETH terhadap nilai jaminan (LTV) masih dipertahankan pada 0. Cadangan WETH di Ethereum Prime, Arbitrum, Base, Mantle, dan Linea tetap dibekukan.
MarketWhisper46menit yang lalu
Wanita Hong Kong Kehilangan 7,7 Juta HKD dalam Kripto Setelah Tergoda Penipuan Trading AI
Seorang wanita Hong Kong kehilangan 7,7 juta HKD kepada seorang penipu yang menyamar sebagai pakar investasi di Telegram, menjanjikan keuntungan tinggi dengan risiko rendah. Setelah mentransfer dana beberapa kali, ia tidak bisa menarik uangnya, sehingga terungkap penipuan tersebut. Polisi memperingatkan agar tidak terjebak penipuan seperti itu.
GateNews52menit yang lalu
Ice Open Network mengalami kebocoran data oleh orang dalam, setelah token ION anjlok, reorganisasi untuk bertahan hidup
Ice Open Network pada 20 April menulis di X, mengonfirmasi bahwa pada minggu lalu terjadi insiden kebocoran data. Penyebabnya adalah bahwa setelah hubungan bisnis dengan penyedia layanan pihak ketiga oleh empat orang rekan pendiri berakhir, mereka masih mengakses server eksternal, sehingga membocorkan alamat email pengguna, nomor telepon 2FA, dan data yang terkait dengan identitas. Latar belakang kejadian ini adalah: token ION telah anjlok 93% dua minggu sebelumnya, dan tim proyek sedang berada dalam masa reorganisasi darurat berskala besar.
MarketWhisper57menit yang lalu
Bank for International Settlements memperingatkan: Stablecoin lebih mirip efek, cacat penebusan dapat memicu aksi berlari ke bank (bank run)
Bank for International Settlements (BIS) P. Kepala Sekretaris Pablo Hernández de Cos pada hari Senin memperingatkan di sebuah seminar Bank Jepang bahwa ukuran pasar stablecoin global telah menembus 315,9 miliar dolar AS, tetapi mekanisme operasinya lebih mirip produk investasi seperti ETF, bukan mata uang yang sesungguhnya. BIS mengatakan bahwa jika terjadi penarikan kembali secara besar-besaran, hal itu akan memicu efek bank run berantai yang serupa dengan Silicon Valley Bank pada tahun 2023.
MarketWhisper1jam yang lalu
Pendiri Curve Menyerukan Standar Keamanan DeFi di Tengah Lonjakan Peretasan
Michael Egorov, pendiri Curve Finance, menyoroti kerentanan industri DeFi setelah peretasan besar yang signifikan. Ia menekankan perlunya langkah-langkah pencegahan, standar keselamatan yang kolaboratif, dan akuntabilitas untuk memulihkan kepercayaan serta memastikan adopsi yang aman di sektor tersebut.
CryptoFrontier2jam yang lalu
Arbitrum membekukan darurat peretas KelpDAO sebanyak 30766 ETH
Komite Keamanan Arbitrum pada 21 April mengumumkan bahwa mereka telah mengambil tindakan darurat untuk membekukan 30.766 ETH di jaringan Arbitrum One yang terkait dengan serangan peretas KelpDAO. Komite Keamanan, dengan bantuan lembaga penegak hukum, telah mengonfirmasi identitas pelaku, dan merancang serangkaian solusi teknis untuk memindahkan dana ke dompet pembekuan sementara tanpa memengaruhi status rantai lainnya atau pengguna Arbitrum mana pun.
MarketWhisper2jam yang lalu
