Девід Шварц, CTO Emeritus у Ripple, виявив закономірність у вразливостях безпеки мостів після того, як Kelp DAO rsETH-міст був експлойтнутий приблизно на $292 мільйон. Під час оцінювання DeFi-систем бриджування для використання RLUSD Шварц помітив, що постачальники мостів систематично знижували пріоритет своїх найнадійніших механізмів безпеки на користь зручності — закономірність, яку він вважає такою, що могла сприяти інциденту з Kelp DAO.
Презентація безпекових функцій
У своєму аналізі, яким він поділився у X, Шварц описав, як постачальники мостів просували на перший план передові функції безпеки, а потім одразу ж пропонували, що ці функції є опційними. «Зазвичай вони фактично рекомендували не користуватися найважливішими механізмами безпеки, тому що є витрати, пов’язані зі зручністю та операційною складністю», — написав він.
Шварц зазначив, що під час обговорень оцінювання RLUSD постачальники робили акцент на простоті та легкості додавання кількох мереж «за замовчуванням, що ми не будемо користуватися найкращими функціями безпеки, які в них є». Він підсумував суперечність: «Їхня торгова пропозиція була в тому, що в них є найкращі функції безпеки, але ними легко користуватися й вони масштабуються — за умови, що ви не використовуєте функції безпеки».
Що сталося з Kelp DAO
19 квітня Kelp DAO виявив підозрілу кросчейн-активність із rsETH і призупинив контракти в основній мережі та на кількох мережах рівня 2. Приблизно 116,500 rsETH було виведено через виклики контрактів, пов’язаних із LayerZero, що становить близько $292 мільйонів за поточними цінами.
Ончейн-аналіз від D2 Finance встановив першопричину як витік приватного ключа в вихідній мережі, що створив проблему довіри для вузлів OApp, яку атакувальник використав для маніпулювання мостом.
Налаштування безпеки LayerZero
Сам LayerZero пропонує надійні механізми безпеки, зокрема децентралізовані мережі верифікації. Шварц припустив, що частина проблеми може полягати в тому, що Kelp DAO вирішив не використовувати ключові функції безпеки LayerZero «з міркувань зручності».
Дослідники з’ясовують, чи налаштував Kelp DAO свою реалізацію LayerZero, використовуючи мінімальну схему безпеки — зокрема, єдину точку відмови з LayerZero Labs як єдиним верифікатором — замість того, щоб використовувати більш складні, але значно безпечніші опції, доступні через протокол.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Хак Kelp DAO, приписаний групі Lazarus; домен eth.limo перехоплено через соціальну інженерію
LayerZero повідомила, що експлойт Kelp DAO, якому приписують групу Lazarus з Північної Кореї, призвів до втрати $292 мільйона токенів rsETH через уразливості її децентралізованої мережі верифікаторів. Крім того, eth.limo зіткнулася з перехопленням домену внаслідок атаки соціальної інженерії, але DNSSEC пом’якшив серйозні наслідки.
GateNews2год тому
DeFi-хак спричинив відтік на $9 мільярда з Aave, оскільки викрадені токени використовувалися як застава
Нещодавній хак, який вивів майже $300 мільйонів із криптопроєкту, призвів до кризи ліквідності на Aave, через що користувачі вивели близько $9 мільярда. Сумніви щодо якості застави спричинили масові вилучення, підкресливши ризики в DeFi-кредитуванні.
GateNews2год тому
Фішингова атака на Ethereum викрадає $585K У чотирьох користувачів, один потерпілий втрачає $221K WBTC
У скоординованій фішинговій атаці на Ethereum було викрадено $585,000 у чотирьох потерпілих, використовуючи дозволи користувачів через оманливе посилання. Цей інцидент демонструє швидку втрату коштів через соціальну інженерію навіть під виглядом законності.
GateNews4год тому
Зверніть увагу на підписані документи! Vercel зазнав вимагання 2 мільйони доларів, криптовалютний протокол піднімає тривогу через безпеку фронтенду
Хмарна платформа розробки Vercel 19 квітня зазнала злому: зловмисники отримали доступ через сторонній інструмент ШІ, яким користуються працівники, та висунули вимогу про викуп у розмірі 2 мільйони доларів США. Хоча доступу до конфіденційних даних не було, інші дані, імовірно, могли бути використані. Ця подія викликала занепокоєння безпекою в криптоспільноті; Vercel наразі проводить розслідування та рекомендує користувачам змінити ключі.
ChainNewsAbmedia6год тому
KelpDAO втрачає $290M у атакі LayerZero у межах групи Lazarus
KelpDAO зіткнувся з $290 мільйонними збитками через витончене порушення безпеки, пов’язане з групою Lazarus. Атака використала вразливості в конфігурації їхньої системи верифікації та підкреслила ризики покладатися на налаштування верифікації з єдиною точкою відмови. Експерти галузі наголошують на необхідності вдосконалити налаштування безпеки та запровадити багаторівневу верифікацію, щоб запобігти майбутнім інцидентам.
CryptoFrontier6год тому
LayerZero відповідає на подію на 292 млн Kelp DAO: вказано, що Kelp налаштував 1 із 1 (1-of-1) DVN у власному виборі, а хакер — північнокорейська група Lazarus
LayerZero опублікувала заяву щодо інциденту із викраденням 2,92 млрд доларів США, пов’язаного з Kelp DAO, звинувативши, що власноруч обрана Kelp конфігурація 1-of-1 DVN зробила подію можливою, а нападником є північнокорейська група Lazarus. LayerZero підкреслює, що цей інцидент стався через вибір конфігурації, і більше не підтримуватиме такі вразливі налаштування. Крім того, відповідальність досі залишається предметом суперечок, і жодного плану компенсації не надано.
ChainNewsAbmedia6год тому
