Acheter Cryptos
Payer en
USD
USD
Acheter & Vendre
Hot
Visa, Mastercard, SEPA et bien plus
P2P
0 Fees
Trading flexible, zéro frais
Gate Card
Payez partout avec vos cryptos
Marchés
Trader
Basique
Avancé
Futures
Futures
Accédez à des centaines de contrats perpétuels
CFD
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
tag
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Square
Square
Découvrir la valeur en crypto
Live
moments live
Analyse en temps réel du marché des cryptomonnaies
Discussion
Discutez avec des traders de cryptomonnaies
Actualités
Ce qu'il se passe dans le monde de la crypto
flower_head
Plus
Promotions
AI
Autres
TradFi
WCTC S8
Récompenses

Le CTO de Ripple : l’exploit de Kelp DAO reflète les compromis en matière de sécurité des ponts

CryptoFrontier
Incidents de sécuritéRisque lié à l’exchange
ZRO-6,32%

David Schwartz, CTO émérite chez Ripple, a identifié un schéma dans les vulnérabilités de sécurité des ponts après que le pont rsETH de Kelp DAO a été exploité pour environ $292 million. Lors de son évaluation des systèmes de pont DeFi pour l’usage du RLUSD, Schwartz a observé que les fournisseurs de ponts mettaient systématiquement en priorité moindre leurs mécanismes de sécurité les plus robustes au profit de la commodité, un schéma qu’il pense avoir pu contribuer à l’incident de Kelp DAO.

Le pitch de vente des fonctionnalités de sécurité

Dans son analyse partagée sur X, Schwartz a décrit comment les fournisseurs de ponts faisaient la promotion de fonctionnalités de sécurité avancées de manière très visible, puis suggéraient immédiatement que ces fonctionnalités étaient optionnelles. « En pratique, ils ont généralement recommandé de ne pas utiliser les mécanismes de sécurité les plus importants, parce qu’ils ont des coûts de commodité et de complexité opérationnelle », a-t-il écrit.

Schwartz a noté qu’au cours des discussions d’évaluation du RLUSD, les fournisseurs ont mis l’accent sur la simplicité et la facilité d’ajouter plusieurs chaînes « avec l’hypothèse implicite que nous ne nous donnerions pas la peine d’utiliser les meilleures fonctionnalités de sécurité qu’ils avaient ». Il a résumé la contradiction : « Leur argument de vente, c’était qu’ils ont les meilleures fonctionnalités de sécurité mais qu’elles sont faciles à utiliser et à mettre à l’échelle, en supposant que vous n’utilisiez pas les fonctionnalités de sécurité. »

Ce qui est arrivé à Kelp DAO

Le 19 avril, Kelp DAO a identifié une activité transfrontalière suspecte impliquant rsETH et a mis en pause des contrats sur le réseau principal et sur plusieurs réseaux de couche 2. Environ 116 500 rsETH ont été vidés via des appels de contrats liés à LayerZero, d’une valeur d’environ $292 million aux prix actuels.

L’analyse en chaîne de D2 Finance a retracé la cause racine à une fuite de clé privée sur la chaîne source, qui a créé un problème de confiance avec les nœuds OApp que l’attaquant a exploités pour manipuler le pont.

Configuration de sécurité de LayerZero

LayerZero lui-même offre des mécanismes de sécurité robustes, y compris des réseaux de vérification décentralisés. Schwartz a émis l’hypothèse qu’une partie du problème pourrait venir du fait que Kelp DAO a choisi de ne pas utiliser les fonctionnalités de sécurité clés de LayerZero « par commodité ».

Les enquêteurs examinent si Kelp DAO a configuré son implémentation de LayerZero avec une configuration de sécurité minimale—plus précisément, un point de défaillance unique avec LayerZero Labs comme seul vérificateur—plutôt que d’utiliser les options plus complexes, mais nettement plus sécurisées, disponibles via le protocole.

Afficher la source
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'avertissement.
Articles similaires

KelpDAO perd $290M dans l’attaque LayerZero du groupe Lazarus

Crypto Frontier04-20 06:22

Le pont rsETH de LayerZero a été piraté, plusieurs protocoles dont Aave ont gelé d’urgence

Market Whisper04-20 03:12

Le pont Kelp est touché par une vague d’attaques, Aave ; le TVL chute, révélant des créances douteuses d’une valeur de 196 millions

Market Whisper04-20 01:48

Kelp DAO piraté pour 292 millions de dollars : une attaque par messages falsifiés vise le pont inter-chaînes de LayerZero, devenant le plus grand événement DeFi de 2026

ChainNewsAbmedia04-19 01:04
Commentaire
0/400
LateBlockLarryvip
· 04-22 07:38
Une fois que des infrastructures de base comme les ponts considèrent la sécurité comme une option, cela devient rapidement une scène d'accident où l'argent brûle à chaque seconde. Lorsque la commodité et la sécurité doivent être choisies entre deux, le projet doit toujours privilégier la seconde.
Voir l'originalRépondre0
Glass-HeartMarketMakervip
· 04-21 13:12
La fuite de la clé privée + pour « plus pratique », simplifier les options de sécurité, même LayerZero ne peut pas supporter ce genre de configuration, le risque de pont est souvent amplifié par l'homme.
Voir l'originalRépondre0
FoldedCosmosCatvip
· 04-20 04:06
292M, ce coût est trop cher…
Voir l'originalRépondre0
0xNapvip
· 04-20 03:36
La probabilité que LayerZero soit blâmé augmente encore, en réalité la cause profonde reste la gestion des clés + une configuration de sécurité trop simplifiée. Ne pas confondre la configuration par défaut avec une configuration de sécurité.
Voir l'originalRépondre0
SummerNightColdWalletvip
· 04-20 03:28
J'espère que cette fois, nous pourrons faire avancer l'harmonisation de la sécurité minimale des ponts dans l'industrie : multi-signatures / seuils, isolation matérielle, approbation décentralisée, mécanismes de rollback / pause, sinon le prochain Kelp n'est qu'une question de temps.
Voir l'originalRépondre0
ColdBrewSparklingWatervip
· 04-20 03:25
说白了还是图省事出大事。
Répondre0
OnchainComplainervip
· 04-20 03:16
La caractéristique de sécurité est piégée dès le moment où elle est « optimisée hors ».
Voir l'originalRépondre0
MevStreetPhotographervip
· 04-20 03:16
Je me souviens d'une phrase : le pont inter-chaînes n'est pas un problème de code, mais un problème de sécurité opérationnelle. La gestion des clés privées, la séparation des permissions, la signature à seuil, les audits et alertes, tout cela est bien plus important que la « mise en ligne rapide ».
Voir l'originalRépondre0