David Schwartz,Ripple 的榮譽首席技術官(CTO Emeritus),在 Kelp DAO rsETH 代幣橋遭到約 $292 百萬規模的利用攻擊之後,辨識出橋接安全漏洞中的一種模式。在他針對 RLUSD 用途評估去中心化金融(DeFi)橋接系統時,Schwartz 觀察到,橋接提供者會一再把其最強大的安全機制降為次要,轉而優先考量便利性;他認為這種模式可能助長了 Kelp DAO 事件。
The Security Features Sales Pitch
在他於 X 上分享的分析中,Schwartz 描述了橋接提供者如何把先進的安全功能放在宣傳重點上,接著又立刻建議這些功能是「可選的」。「他們通常實際上是在建議不要去使用最重要的安全機制,因為那會有便利性以及作業上的複雜度成本,」他寫道。
Schwartz 指出,在進行 RLUSD 評估的討論時,供應商強調「簡單」以及「輕鬆加入多條鏈」時,背後隱含的假設是「我們不會去使用他們所具備的最佳安全功能」。他總結了這種矛盾:「他們的銷售話術是:他們有最好的安全功能,而且用起來容易、能擴展,前提是你不要使用這些安全功能。」
What Happened to Kelp DAO
4 月 19 日,Kelp DAO 識別出涉及 rsETH 的可疑跨鏈活動,並在主網以及多個第二層(Layer 2)網路中暫停合約。約有 116,500 rsETH 透過與 LayerZero 相關的合約呼叫被排出,按目前價格計算約 $292 百萬。
D2 Finance 的鏈上分析將根因追溯到來源鏈上私鑰外洩,這導致與 OApp 節點之間的信任問題;攻擊者正是利用這個問題來操縱該橋。
LayerZero Security Configuration
LayerZero 本身提供強健的安全機制,包括去中心化的驗證網路。Schwartz 推測,問題的一部分可能來自 Kelp DAO 出於「便利」而選擇不使用關鍵的 LayerZero 安全功能。
調查人員正檢視 Kelp DAO 是否使用了最小化的安全設定來部署其 LayerZero 實作——也就是只設有單一故障點,並以 LayerZero Labs 作為唯一驗證者——而不是使用協議所提供、雖然更複雜但安全性顯著更高的選項。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
Aave 為降低系統性風險而在以太坊、Arbitrum 及其他網路暫停 rsETH 儲備運營
Gate 新聞消息,4 月 23 日 — Aave 宣布,為在資產回收流程期間降低系統性風險,它已在以太坊主網、Arbitrum、Base、Mantle 和 Linea 網路暫停所有與 rsETH 儲備相關的運營。
該措施旨在在回收計劃推進的同時,保留額外資金
GateNews1小時前
摩根大通:DeFi 駭客頻傳與 TVL 停滯壓縮機構興趣,資金轉投 USDT
摩根大通報告認為DeFi持續漏洞、跨鏈橋與預言機攻擊頻繁,致TVL停滯、削弱機構投資意願,資金轉向可追蹤、可凍結的USDT。KelpDAO與Rhea Finance攻擊揭示風控風險,中心化穩定幣與托管更受青睞;長期要改善需超越保險與治理,DeFi難回到2021年高TVL,穩定幣將更集中。
鏈新聞abmedia1小時前
Circle 首席經濟學家提議在 KelpDAO 風波中上調 Aave 上的 USDC 利率
Gate 新聞訊息,4 月 23 日——Circle 首席經濟學家 Gordon Liao 本週在 Aave v3 Ethereum Core 上提議上調 USDC 貸款參數,原因是先前發生了一起 $292 百萬 KelpDAO rsETH 漏洞攻擊,導致整個協議出現流動性危機。Liao 的徵求意見(Request for Comment)建議將 "S
GateNews2小時前
大型CEX以機器學習與規則引擎升級詐騙偵測系統,將回應時間縮短至數小時
門戶新聞訊息,4月23日——一家大型集中式交易所宣布,透過將機器學習模型與基於規則的引擎整合,對其反詐騙系統進行全面改造;採用雙軌策略,讓模型負責長期防禦、規則則能實現快速響應。整合後的框架
GateNews2小時前
Meta Pool 警告:偽冒官方質押池與代幣的詐欺合約
Gate 新聞訊息,4 月 23 日 — Meta Pool 已識別出一個可疑的智慧合約,試圖冒充其合法的質押池和代幣。平台強調,該詐欺合約與 Meta Pool 或任何官方 NEAR 流動性質押提供商均無關聯
GateNews3小時前
摩根大通:DeFi 漏洞利用事件與停滯的 TVL 持續限制機構採用
Gate 新聞訊息,4 月 23 日—摩根大通(JPMorgan)分析師表示,持續的去中心化金融(DeFi)漏洞利用事件與疲弱的增長,仍在限制機構對該領域的興趣。根據一份由摩根大通管理董事 Nikolaos Panigirtzoglou 領導的報告,近期 Kelp DAO 攻擊在短短數天內就從 DeFi 的總鎖倉量(TVL)中抹除了約 $20 billion (TVL),據稱
GateNews3小時前
