Дэвид Шварц, CTO Emeritus в Ripple, выявил закономерность в уязвимостях мостовой безопасности после того, как Kelp DAO rsETH bridge был скомпрометирован примерно на $292 миллионов. Во время своей оценки DeFi-систем мостов для использования RLUSD Шварц заметил, что поставщики мостов неизменно отдавали приоритет удобству, а не самым надежным механизмам безопасности, и полагает, что эта закономерность могла способствовать инциденту с Kelp DAO.
The Security Features Sales Pitch
В своем анализе, опубликованном в X, Шварц описал, как поставщики мостов делали акцент на передовых функциях безопасности, а затем сразу же предлагали, что эти функции являются опциональными. «Они в целом фактически рекомендовали не пользоваться самыми важными механизмами безопасности, потому что за это приходится платить удобством и эксплуатационной сложностью», — написал он.
Шварц отметил, что в ходе обсуждений оценки RLUSD поставщики подчеркивали простоту и легкость добавления нескольких цепочек «при неявном предположении, что мы не будем пользоваться их лучшими функциями безопасности». Он подвел итог этому противоречию: «Их торговая подача заключалась в том, что у них лучшие функции безопасности, но они просты в использовании и масштабируются — при условии, что вы не используете функции безопасности».
Что произошло с Kelp DAO
19 апреля Kelp DAO обнаружила подозрительную кроссчейн-активность с участием rsETH и приостановила контракты в основной сети и в нескольких сетях уровня 2. Примерно 116,500 rsETH было выведено через вызовы контрактов, связанных с LayerZero, что составляет около $292 миллионов по текущим ценам.
Ончейн-анализ от D2 Finance установил первопричину как утечку приватного ключа в исходной цепочке, что создало проблему доверия с узлами OApp, которую злоумышленник использовал для манипулирования мостом.
LayerZero Security Configuration
Сам LayerZero предлагает надежные механизмы безопасности, включая децентрализованные сети верификации. Шварц предположил, что часть проблемы может быть связана с тем, что Kelp DAO выбрала не использовать ключевые функции безопасности LayerZero «из-за удобства».
Следователи выясняют, настроила ли Kelp DAO свою реализацию LayerZero с использованием минимальной схемы безопасности — в частности, с единой точкой отказа, где LayerZero Labs является единственным верификатором, — вместо применения более сложных, но существенно более безопасных вариантов, доступных через протокол.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Мошенники выдают себя за иранские власти, чтобы вымогать деньги у владельцев судов, оказавшихся в ловушке, в Bitcoin и Tether
Сообщение Gate News, 21 апреля — Неизвестные злоумышленники отправили мошеннические сообщения судоходным компаниям, у которых суда оказались в затруднительном положении к западу от Ормузского пролива, утверждая, что они являются иранскими властями, и предлагая безопасный проход в обмен на оплату сборов в Bitcoin или Tether, сообщает греческая фирма по оценке рисков MARISKS. Сообщения…
GateNews1м назад
Обновление события Aave rsETH: Core V3 WETH разморожены, пять ключевых рыночных резервов по-прежнему заморожены
Aave 21 апреля в X объявила, что резервы WETH на рынке Ethereum Core V3 были разморожены; пользователи могут снова вносить WETH в Ethereum Core V3. Коэффициент стоимости займа по WETH (LTV) по-прежнему составляет 0. Резервы WETH на Ethereum Prime, Arbitrum, Base, Mantle и Linea остаются замороженными.
MarketWhisper1ч назад
Женщина из Гонконга потеряла 7,7 млн HKD в криптовалюте после того, как поверила мошенничеству с ИИ-трейдингом
Женщина из Гонконга потеряла 7,7 млн HKD из-за мошенника, который выдавал себя за эксперта по инвестициям в Telegram и обещал высокую доходность при низком риске. После нескольких переводов средств она не смогла вывести деньги, что раскрыло мошенничество. Полиция предупредила о подобных схемах.
GateNews1ч назад
Сеть Open Network подверглась утечке данных со стороны инсайдера; после обвала токена ION она провела реорганизацию, чтобы выжить
Ice Open Network 20 апреля опубликовала в X пост, подтвердив, что на прошлой неделе произошла утечка данных. Причина заключалась в том, что после прекращения деловых отношений 4 партнеров с сторонним поставщиком услуг они продолжили доступ к внешним серверам, в результате чего были раскрыты адреса электронной почты пользователей, номера телефонов для 2FA и связанные с личностью данные. Предыстория этого инцидента такова: токен ION двумя неделями ранее уже рухнул на 93%, и команда проекта находится в периоде масштабной экстренной реорганизации.
MarketWhisper1ч назад
Банк международных расчётов предупреждает: стейблкоины больше похожи на ценные бумаги, недостатки при выкупе могут спровоцировать банковскую панику
Генеральный управляющий Банка международных расчетов (BIS) Пабло Эрнандес де Кос в понедельник на семинаре Банка Японии предупредил, что мировой рынок стейблкоинов по объему уже превысил 315,9 млрд долларов, но его механизмы функционирования больше похожи на инвестиционные продукты, такие как ETF, а не на настоящую валюту. BIS заявляет, что в случае крупномасштабного погашения это вызовет эффект массового цепного изъятия средств, аналогичный тому, что произошло в 2023 году с Silicon Valley Bank.
MarketWhisper1ч назад
Основатель Curve призывает к стандартам безопасности DeFi на фоне всплеска взломов
Михаил Егоров, основатель Curve Finance, отметил уязвимости индустрии DeFi после существенного взлома. Он подчеркнул необходимость профилактических мер, совместных стандартов безопасности и подотчетности, чтобы восстановить доверие и обеспечить безопасное внедрение в секторе.
CryptoFrontier2ч назад
