リップルの名誉CTOであるデビッド・シュワルツは、Kelp DAOのrsETHブリッジが約$292 百万ドル規模で悪用された後、ブリッジのセキュリティ脆弱性にあるパターンを特定した。RLUSDの利用を想定したDeFiブリッジング・システムの評価の中で、シュワルツはブリッジ提供者が一貫して、最も堅牢なセキュリティ・メカニズムを利便性のために優先度を下げていたことを観察した。彼は、そのパターンがKelp DAOの件に寄与した可能性があると考えている。
セキュリティ機能の売り込み文句
Xで共有した分析の中で、シュワルツはブリッジ提供者が先進的なセキュリティ機能を目立つように売り込んだ後、すぐにそれらの機能が任意であるかのように提案したと説明した。「彼らは一般的に、利便性と運用・管理の複雑さに伴うコストがあるため、最も重要なセキュリティ・メカニズムを使わないことを推奨しているように見える」と彼は書いている。
シュワルツは、RLUSDの評価に関する議論の中で、提供者が複数のチェーンを「簡単に追加できる」ことを強調し、「私たちは彼らが持つ最良のセキュリティ機能を使うつもりはない」という暗黙の前提が置かれていたと述べた。矛盾をこう要約した。「彼らの売り込み文句は、最高のセキュリティ機能があるが、使いやすくてスケールしやすいので、セキュリティ機能を使わないなら話が早い、というものだった。」
Kelp DAOで何が起きたか
4月19日、Kelp DAOはrsETHに関する不審なクロスチェーン活動を特定し、メインネットおよび複数のレイヤー2ネットワークにまたがる契約を一時停止した。約116,500 rsETHが、LayerZero関連のコントラクト呼び出しを通じて流出し、現行価格で約$292 百万ドルに相当する。
D2 Financeによるオンチェーン分析では、根本原因はソースチェーンでのプライベートキー漏えいだと追跡された。これにより、攻撃者がブリッジを操作するために悪用したOAppノードとの間に信頼上の問題が生じた。
LayerZeroのセキュリティ設定
LayerZero自体は分散型の検証ネットワークなど、堅牢なセキュリティ機能を提供している。シュワルツは、問題の一部はKelp DAOが「利便性のために」重要なLayerZeroのセキュリティ機能を使わないことを選んだことに起因している可能性があると推測した。
捜査当局は、Kelp DAOがLayerZeroの実装を、プロトコルで利用可能なより複雑だが大幅により安全な選択肢ではなく、LayerZero Labsを唯一の検証者とする単一障害点の最小限のセキュリティ設定で構成したのかどうかを調べている。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
セキュリティ研究者がCometBFTの0日脆弱性を開示;直接の資産窃取は不可能
Gateニュース、4月21日――セキュリティ研究者のドヨン・パーク氏は、Xの投稿によると、Cosmosのコンセンサス層であるCometBFTに(CVSS 7.1)の深刻な重大0日脆弱性を開示した。この欠陥により、ブロック同期の間にネットワークノードが停止してシステム運用が妨げられる可能性はあるが、資産の窃取を直接引き起こすことはできない。
GateNews1時間前
偽の警察なりすましがフランスのカップルにビットコインでほぼ $1M の送金を強要
フランスで警察を装った犯罪者が、恐怖と権威を使ってカップルに対し、ビットコインでほぼ $1M を送金させた。これは、人の心に付け込む「レンチ攻撃」であり、ウォレットではなく人を悪用する。
要旨:攻撃者はなりすましと心理的強要を用いてビットコインの送金を強制し、技術的なウォレットの脆弱性ではなく人間の弱さを狙うレンチ攻撃を示した。
GateNews2時間前
フランスの暗号資産専門家に対する強盗未遂を阻止;容疑者を逮捕
ゲートニュース 4月21日 — フランス、モンペリエ近郊のサン=ジャン=ド=ヴェダスに住む40歳の暗号資産業界の専門家が、自宅での強盗未遂を阻止しました。容疑者は配達員を装って邸宅に侵入し、被害者に暗号資産ウォレットの秘密鍵を差し出すよう要求しました
GateNews2時間前
KelpDAO $290M 北朝鮮のラザロス・グループに帰属するエクスプロイト
LayerZeroは、4月18日に、KelpDAOのクロスチェーンrsETH設定に関する$290 百万のエクスプロイトを、北朝鮮のLazarus Groupに帰属しました。また、攻撃者を「高度に洗練された国家関係者」と説明しています。LayerZeroによれば、このインシデントはKelpDAOのrsETH設定に限定され、他には波及しませんでした
CryptoFrontier3時間前
イラン当局を装う詐欺師が、ホルムズ海峡の船からBitcoinとUSDTの支払いを要求
ゲートニュース(4月21日)— 船舶がホルムズ海峡の西側で立ち往生しているとして、イラン当局を装う詐欺師が海運会社を標的にし、安全通航と引き換えにBitcoinおよびTether (USDT)の支払いを要求している。海上リスク企業Marisksによれば、そのような手口が確認された。
詐欺師たちは
GateNews3時間前
