David Schwartz, CTO Emérito da Ripple, identificou um padrão em vulnerabilidades de segurança em pontes após a ponte rsETH da Kelp DAO ter sido explorada por aproximadamente $292 milhões. Durante a sua avaliação de sistemas de bridging DeFi para uso de RLUSD, Schwartz observou que os fornecedores de pontes desvalorizavam consistentemente os seus mecanismos de segurança mais robustos em favor da conveniência, um padrão que acredita poder ter contribuído para o incidente da Kelp DAO.
A Abordagem de Vendas das Funcionalidades de Segurança
Na sua análise partilhada no X, Schwartz descreveu como os fornecedores de pontes promoviam de forma proeminente funcionalidades de segurança avançadas e, logo de seguida, sugeriam que essas funcionalidades eram opcionais. “Em geral, recomendam na prática não se preocupar em utilizar os mecanismos de segurança mais importantes porque têm custos de conveniência e de complexidade operacional”, escreveu.
Schwartz notou que, durante as discussões de avaliação do RLUSD, os fornecedores destacaram a simplicidade e a facilidade de adicionar múltiplas cadeias “com a suposição implícita de que não nos preocuparíamos em utilizar as melhores funcionalidades de segurança de que dispunham”. Resumiu a contradição: “A abordagem de vendas era que têm as melhores funcionalidades de segurança, mas são fáceis de usar e escalar, assumindo que não utiliza as funcionalidades de segurança.”
O que Aconteceu à Kelp DAO
A 19 de abril, a Kelp DAO identificou uma atividade suspeita entre cadeias envolvendo rsETH e colocou contratos em pausa em mainnet e em várias redes de Layer 2. Aproximadamente 116.500 rsETH foram drenados através de chamadas de contratos relacionadas com LayerZero, no valor de cerca de $292 milhões aos preços atuais.
A análise on-chain da D2 Finance apontou a causa raiz para uma fuga de chave privada na cadeia de origem, que criou um problema de confiança com nós OApp que o atacante explorou para manipular a ponte.
Configuração de Segurança do LayerZero
O próprio LayerZero oferece mecanismos de segurança robustos, incluindo redes de verificação descentralizadas. Schwartz levantou a hipótese de que parte do problema pode advir de a Kelp DAO ter optado por não utilizar funcionalidades-chave de segurança do LayerZero “por conveniência”.
Os investigadores estão a avaliar se a Kelp DAO configurou a sua implementação do LayerZero com uma configuração mínima de segurança—especificamente, um único ponto de falha com a LayerZero Labs como único verificador—em vez de utilizar as opções mais complexas, mas significativamente mais seguras, disponíveis através do protocolo.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Fraudadores que se passam por autoridades iranianas exigem pagamentos em Bitcoin e USDT a partir de navios no Estreito de Ormuz
Mensagem do Gate News, 21 de Abril — Golpistas que se fazem passar por autoridades iranianas visaram empresas de navegação com navios imobilizados a oeste do Estreito de Ormuz, exigindo pagamentos em Bitcoin e Tether (USDT) em troca de uma passagem segura, segundo a empresa de risco marítimo Marisks.
Os fraudadores
GateNews17m atrás
BIS alerta que stablecoins denominadas em dólares como USDT e USDC colocam risco de estabilidade financeira
Mensagem do Gate News, 21 de Abril — O Banco de Pagamentos Internacionais (BIS) reiterou preocupações com as stablecoins, com o Director-Geral Pablo Hernandez de Cos a alertar que as stablecoins denominadas em dólares, como USDT e USDC, são fundamentalmente mais arriscadas do que é geralmente percepcionado.
Cos afirmou que
GateNews1h atrás
O fundador da Curve, Egorov, critica a arquitectura de DeFi após $750M em perdas este ano
Mensagem do Gate News, 21 de abril — depositantes de DeFi enfrentaram problemas de levantamento ao longo do fim de semana em protocolos importantes, incluindo Aave, rsETH e LayerZero, levando o fundador da Curve Finance, Michael Egorov, a criticar publicamente a abordagem arquitectónica da indústria. "Seremos uma indústria de palhaços?" Egorov
GateNews1h atrás
Conselho de Segurança da Arbitrum congela 30.766 ETH do exploit da KelpDAO; 9 dos 12 membros votam a favor
A Arbitrum congelou 30.766 ETH do hack da KelpDAO, trabalhou com as autoridades policiais e recuperou cerca de um quarto dos activos, ao mesmo tempo que manteve os fundos bloqueados, pendentes de deliberação, no contexto dos debates sobre descentralização versus segurança.
Resumo: Este artigo relata que o Conselho de Segurança da Arbitrum congelou 30.766 ETH (cerca de $70 milhão) associados ao exploit da KelpDAO, com nove dos doze votos, e moveu os fundos para uma carteira segura em coordenação com as autoridades policiais. A operação visou apenas os activos afectados para minimizar a perturbação da rede. O explorador é suspeito de estar associado à DPRK. A brecha começou a 18 de abril através de uma ponte alimentada pela LayerZero, esvaziando 116.500 rsETH (~$292 milhão). Cerca de um quarto dos activos roubados foi recuperado. Os fundos congelados permanecerão bloqueados até que a governação e as autoridades legais decidam os próximos passos, suscitando um debate sobre descentralização versus segurança.
GateNews2h atrás
Golpistas Fazem-se Passar por Autoridades Iranianas para Extorquir Proprietários de Navios Imobilizados em Bitcoin e Tether
Mensagem de Gate News, 21 de abril — Atores desconhecidos enviaram mensagens fraudulentas a empresas de navegação com navios imobilizados a oeste do Estreito de Ormuz, alegando ser autoridades iranianas e oferecendo passagem segura em troca de taxas pagas em Bitcoin ou Tether, de acordo com a firma grega de risco MARISKS. A mensagem
GateNews3h atrás
Atualização do evento Aave rsETH: Descongela o WETH do Core V3, as cinco principais reservas de mercado continuam congeladas
Aave anunciou no X a 21 de abril que as reservas de WETH no mercado Ethereum Core V3 foram desbloqueadas; os utilizadores podem voltar a fornecer WETH ao Ethereum Core V3; a relação valor do empréstimo (LTV) dos empréstimos de WETH continua a manter-se em 0. As reservas de WETH no Ethereum Prime, Arbitrum, Base, Mantle e Linea continuam congeladas.
MarketWhisper4h atrás
