Compra criptomonedas
Pagar con
USD
USD
Compra y venta
Hot
Acepta Visa, Mastercard, SEPA y más
P2P
0 Fees
Trading flexible y sin tarifas
Gate Card
Paga con tus cripto en todo el mundo
Mercados
Operar
Básico
Avanzado
Futuros
Contrato
Accede a cientos de contratos perpetuos
CFD
Oro
Plataforma global de activos tradicionales
Opciones
Hot
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Trading de prueba
Introducción al trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Únete a eventos para ganar recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Earn
Lanzamiento
CandyDrop
tag
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
Pre-IPOs
Accede al acceso completo a las OPV de acciones globales
Puntos Alpha
Opera activos on-chain y recibe airdrops
Puntos de futuros
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Square
Square
Descubra el valor en criptomonedas
En vivo
moments live
Análisis del mercado de criptomonedas en tiempo real
Chat
Chatea con traders de criptomonedas
Noticias
Lo que está ocurriendo en el mundo de las criptomonedas
flower_head
Más
Promociones
AI
Otros
TradFi
WCTC S8
Recompensas

El CTO de Ripple: el exploit de Kelp DAO refleja los compromisos de seguridad entre puentes

CryptoFrontier
Incidentes de seguridadRiesgo de exchange
ZRO-4,79%

David Schwartz, CTO Emeritus en Ripple, identificó un patrón en vulnerabilidades de seguridad en puentes después de que el puente rsETH de Kelp DAO fuera explotado por aproximadamente $292 millones. Durante su evaluación de sistemas de puente DeFi para el uso de RLUSD, Schwartz observó que los proveedores de puentes reiteradamente restaron prioridad a sus mecanismos de seguridad más sólidos en favor de la conveniencia; un patrón que él cree que pudo haber contribuido al incidente de Kelp DAO.

El discurso de venta de las funciones de seguridad

En su análisis compartido en X, Schwartz describió cómo los proveedores de puentes presentaron en primer plano funciones de seguridad avanzadas y, acto seguido, sugirieron que esas funciones eran opcionales. “En general, recomendaron efectivamente no molestarse en usar los mecanismos de seguridad más importantes porque tienen costos de conveniencia y de complejidad operativa”, escribió.

Schwartz señaló que durante las conversaciones de evaluación de RLUSD, los proveedores enfatizaron la sencillez y la facilidad para agregar múltiples cadenas “con la suposición implícita de que no nos molestaríamos en usar las mejores funciones de seguridad que tenían”. Resumió la contradicción: “Su discurso de venta fue que tienen las mejores funciones de seguridad pero son fáciles de usar y escalar, asumiendo que no usas las funciones de seguridad”.

Qué pasó con Kelp DAO

El 19 de abril, Kelp DAO identificó actividad sospechosa entre cadenas relacionada con rsETH y pausó contratos en el mainnet y en múltiples redes de Capa 2. Aproximadamente 116,500 rsETH se drenaron mediante llamadas de contratos relacionadas con LayerZero, con un valor de alrededor de $292 millones a precios actuales.

El análisis on-chain de D2 Finance rastreó la causa raíz hasta una filtración de clave privada en la cadena de origen, que creó un problema de confianza con los nodos de OApp que el atacante explotó para manipular el puente.

Configuración de seguridad de LayerZero

LayerZero en sí ofrece mecanismos de seguridad sólidos, incluidas redes de verificación descentralizadas. Schwartz planteó la hipótesis de que parte del problema puede derivarse de que Kelp DAO eligió no usar funciones clave de seguridad de LayerZero “por conveniencia”.

Los investigadores están examinando si Kelp DAO configuró su implementación de LayerZero usando una configuración de seguridad mínima: específicamente, un único punto de fallo con LayerZero Labs como el único verificador, en lugar de utilizar las opciones más complejas pero significativamente más seguras disponibles a través del protocolo.

Ver fuente
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el Aviso legal.
Artículos relacionados

KelpDAO pierde $290M en el ataque a LayerZero del grupo Lazarus

Crypto Frontier04-20 06:22

El puente de rsETH con LayerZero fue robado y múltiples protocolos, como Aave, congelaron de emergencia los fondos

Market Whisper04-20 03:12

El puente Kelp se vio afectado por la ola de hackeos; Aave, el TVL cae en picado y aparecen 196 millones en préstamos incobrables

Market Whisper04-20 01:48

Kelp DAO sufre un hack por 292 millones de dólares: ataque con mensajes falsificados contra el puente entre cadenas de LayerZero, el mayor evento DeFi de 2026

ChainNewsAbmedia04-19 01:04
Comentar
0/400
LateBlockLarryvip
· 04-22 07:38
Una vez que se considera la seguridad como una opción en infraestructura básica como los puentes, el resultado será un escenario de accidentes donde se quema dinero por segundos. Cuando la conveniencia y la seguridad deben elegirse entre sí, los responsables del proyecto siempre deben optar por la segunda.
Ver originalResponder0
Glass-HeartMarketMakervip
· 04-21 13:12
La divulgación de la clave privada + para hacerla "más fácil de usar", simplificando las opciones de seguridad, LayerZero, por muy fuerte que sea, no puede soportar este tipo de configuración, el riesgo del puente a menudo es amplificado por errores humanos.
Ver originalResponder0
FoldedCosmosCatvip
· 04-20 04:06
292M Esta tarifa es demasiado cara…
Ver originalResponder0
0xNapvip
· 04-20 03:36
La probabilidad de que LayerZero sea culpada ha aumentado nuevamente, en realidad la causa raíz sigue siendo la gestión de claves + una configuración de seguridad demasiado simplificada. No confundas la configuración predeterminada con una configuración de seguridad.
Ver originalResponder0
SummerNightColdWalletvip
· 04-20 03:28
Espero que esta vez podamos impulsar una línea base de seguridad mínima unificada en la industria para algunos puentes: multi-firma/umbral, aislamiento de hardware, aprobación descentralizada, mecanismos de reversión/pausa, de lo contrario, el próximo Kelp será solo cuestión de tiempo.
Ver originalResponder0
ColdBrewSparklingWatervip
· 04-20 03:25
说白了还是图省事出大事。
Responder0
OnchainComplainervip
· 04-20 03:16
El momento en que las características de seguridad son "optimizadas" es cuando se siembra la bomba.
Ver originalResponder0
MevStreetPhotographervip
· 04-20 03:16
Recuerdo una frase: los puentes entre cadenas no son un problema de código, sino un problema de seguridad operativa. La gestión de claves privadas, el aislamiento de permisos, las firmas de umbral, las auditorías y alertas, esto es mucho más importante que el "despliegue rápido".
Ver originalResponder0