David Schwartz, CTO Emérito da Ripple, identificou um padrão em vulnerabilidades de segurança de bridges após a ponte rsETH do Kelp DAO ter sido explorada por aproximadamente $292 milhões. Durante sua avaliação de sistemas de bridging DeFi para uso do RLUSD, Schwartz observou que os provedores de ponte consistentemente colocavam em segundo plano seus mecanismos de segurança mais robustos em favor da conveniência, um padrão que ele acredita que pode ter contribuído para o incidente do Kelp DAO.
O Discurso de Venda dos Recursos de Segurança
Na análise que ele compartilhou no X, Schwartz descreveu como os provedores de bridge faziam pitches de recursos avançados de segurança com destaque, e então imediatamente sugeriam que esses recursos seriam opcionais. “Em geral, eles efetivamente recomendaram não se dar ao trabalho de usar os mecanismos de segurança mais importantes porque há custos de conveniência e de complexidade operacional”, escreveu ele.
Schwartz observou que, durante discussões de avaliação do RLUSD, os provedores enfatizavam simplicidade e facilidade para adicionar múltiplas cadeias “com a suposição implícita de que não iríamos usar as melhores características de segurança que eles tinham”. Ele resumiu a contradição: “O discurso de venda deles era que eles têm os melhores recursos de segurança, mas são fáceis de usar e de escalar, assumindo que você não usa os recursos de segurança.”
O que Aconteceu com o Kelp DAO
Em 19 de abril, o Kelp DAO identificou uma atividade transchain suspeita envolvendo rsETH e pausou contratos na mainnet e em várias redes de camada 2. Aproximadamente 116.500 rsETH foram drenados por meio de chamadas de contratos relacionadas ao LayerZero, no valor de cerca de $292 milhões aos preços atuais.
A análise on-chain da D2 Finance apontou a causa raiz para um vazamento de chave privada na cadeia de origem, que criou um problema de confiança com nós OApp que o atacante explorou para manipular a ponte.
Configuração de Segurança do LayerZero
O próprio LayerZero oferece mecanismos robustos de segurança, incluindo redes descentralizadas de verificação. Schwartz levantou a hipótese de que parte do problema pode decorrer de o Kelp DAO ter decidido não usar recursos-chave de segurança do LayerZero “por conveniência”.
Investigadores estão examinando se o Kelp DAO configurou sua implementação do LayerZero usando uma configuração mínima de segurança — especificamente, um único ponto de falha com o LayerZero Labs como o único verificador — em vez de utilizar as opções mais complexas, porém significativamente mais seguras, disponíveis por meio do protocolo.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Golpistas se passando por autoridades iranianas exigem Bitcoin e USDT de navios no Estreito de Ormuz
Mensagem do Gate News, 21 de abril — Golpistas se passando por autoridades iranianas estão exigindo Bitcoin (BTC) e Tether (USDT) como taxas de trânsito de navios no Estreito de Ormuz, de acordo com um alerta da MARISKS, uma empresa de gerenciamento de riscos marítimos sediada na Grécia. O esquema promete falsamente "autorização de trânsito seguro"
GateNews3h atrás
Hack Cripto que Drena $300M Pode Frear as Ambições de Blockchain da Wall Street
Mensagem do Gate News, 21 de abril — Um hack de fim de semana que drenou quase $300 milhões de um pequeno projeto de cripto e desencadeou uma corrida de $10 bilhões na maior plataforma de empréstimos descentralizada pode desacelerar o crescente interesse da Wall Street pela tecnologia blockchain, de acordo com um relatório da Jefferies LLC divulgado
GateNews3h atrás
Pesquisador de Segurança Divulga Vulnerabilidade de 0-day no CometBFT; Roubo Direto de Ativos Não é Possível
Mensagem da Gate News, 21 de abril — A pesquisadora de segurança Doyeon Park divulgou uma vulnerabilidade crítica de 0-day (CVSS 7.1) no CometBFT, a camada de consenso do Cosmos, de acordo com uma postagem no X. A falha poderia fazer os nós da rede travarem durante a sincronização de blocos, interrompendo as operações do sistema, mas não pode resultar diretamente em roubo de ativos.
GateNews6h atrás
Falsos Impersonadores de Policiais Forçam Casal Francês a Transferir Quase $1M em Bitcoin
Criminosos se passando por policiais na França coagiram um casal a transferir quase $1M em Bitcoin, usando medo e autoridade em um "ataque com chave inglesa" que explora pessoas, não carteiras.
Resumo: Os atacantes usaram personificação e coerção psicológica para forçar uma transferência de Bitcoin, ilustrando um ataque com chave inglesa que mira a vulnerabilidade humana em vez de explorações técnicas de carteiras.
GateNews7h atrás
Tentativa de assalto à mão armada contra profissional cripto francês é frustrada; suspeito é preso
Mensagem do Gate News, 21 de abril — Um profissional da indústria cripto de 40 anos em Saint-Jean-de-Védas, perto de Montpellier, na França, impediu uma tentativa de assalto à mão armada em sua casa. O suspeito, disfarçado como um entregador, entrou na residência e exigiu que a vítima entregasse as chaves privadas da carteira de criptomoedas
GateNews7h atrás
