David Schwartz, CTO Emeritus en Ripple, identificó un patrón en vulnerabilidades de seguridad en puentes después de que el puente rsETH de Kelp DAO fuera explotado por aproximadamente $292 millones. Durante su evaluación de sistemas de puente DeFi para el uso de RLUSD, Schwartz observó que los proveedores de puentes reiteradamente restaron prioridad a sus mecanismos de seguridad más sólidos en favor de la conveniencia; un patrón que él cree que pudo haber contribuido al incidente de Kelp DAO.
El discurso de venta de las funciones de seguridad
En su análisis compartido en X, Schwartz describió cómo los proveedores de puentes presentaron en primer plano funciones de seguridad avanzadas y, acto seguido, sugirieron que esas funciones eran opcionales. “En general, recomendaron efectivamente no molestarse en usar los mecanismos de seguridad más importantes porque tienen costos de conveniencia y de complejidad operativa”, escribió.
Schwartz señaló que durante las conversaciones de evaluación de RLUSD, los proveedores enfatizaron la sencillez y la facilidad para agregar múltiples cadenas “con la suposición implícita de que no nos molestaríamos en usar las mejores funciones de seguridad que tenían”. Resumió la contradicción: “Su discurso de venta fue que tienen las mejores funciones de seguridad pero son fáciles de usar y escalar, asumiendo que no usas las funciones de seguridad”.
Qué pasó con Kelp DAO
El 19 de abril, Kelp DAO identificó actividad sospechosa entre cadenas relacionada con rsETH y pausó contratos en el mainnet y en múltiples redes de Capa 2. Aproximadamente 116,500 rsETH se drenaron mediante llamadas de contratos relacionadas con LayerZero, con un valor de alrededor de $292 millones a precios actuales.
El análisis on-chain de D2 Finance rastreó la causa raíz hasta una filtración de clave privada en la cadena de origen, que creó un problema de confianza con los nodos de OApp que el atacante explotó para manipular el puente.
Configuración de seguridad de LayerZero
LayerZero en sí ofrece mecanismos de seguridad sólidos, incluidas redes de verificación descentralizadas. Schwartz planteó la hipótesis de que parte del problema puede derivarse de que Kelp DAO eligió no usar funciones clave de seguridad de LayerZero “por conveniencia”.
Los investigadores están examinando si Kelp DAO configuró su implementación de LayerZero usando una configuración de seguridad mínima: específicamente, un único punto de fallo con LayerZero Labs como el único verificador, en lugar de utilizar las opciones más complejas pero significativamente más seguras disponibles a través del protocolo.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Deuda $230M de Kelp DAO: El analista propone un plan de tokens de recuperación
Los riesgos de Aave llegan hasta $230M desde Kelp DAO; es posible que Umbrella no lo cubra. Un plan de recuperación mediante un token $kRecovery podría pagar la deuda con el tiempo a través de recompras de tokens, la recuperación en Arbitrum y el escalado de KUSD.
Resumen: El artículo analiza las pérdidas potenciales de Aave derivadas del exploit de Kelp DAO, la suficiencia de la reserva de Umbrella y una ruta de recuperación propuesta con $kRecovery para pagar con el tiempo mediante recompras, recuperación en Arbitrum y escalado de KUSD.
CryptoFrontierHace22m
Estafadores que se hacen pasar por autoridades iraníes exigen pagos en Bitcoin y USDT a buques en el Estrecho de Ormuz
Mensaje de Gate News, 21 de abril — Estafadores que se hacen pasar por autoridades iraníes han atacado a compañías navieras con buques varados al oeste del Estrecho de Ormuz, exigiendo pagos en Bitcoin y Tether (USDT) a cambio de un paso seguro, según la firma de riesgo marítimo Marisks.
Los estafadores
GateNewsHace42m
El BIS advierte que las stablecoins denominadas en dólares como USDT y USDC suponen un riesgo para la estabilidad financiera
Mensaje de Gate News, 21 de abril — El Banco de Pagos Internacionales (BIS) ha reiterado sus preocupaciones sobre las stablecoins, y su director gerente Pablo Hernandez de Cos advirtió que las stablecoins denominadas en dólares, como USDT y USDC, son fundamentalmente más riesgosas de lo que comúnmente se percibe.
Cos indicó que
GateNewshace1h
El fundador de Curve, Egorov, critica la arquitectura de DeFi después de pérdidas este año por $750M
Mensaje de Gate News, 21 de abril — Los depositantes de DeFi enfrentaron problemas de retiros durante el fin de semana en varios protocolos importantes, incluidos Aave, rsETH y LayerZero, lo que llevó al fundador de Curve Finance, Michael Egorov, a criticar públicamente el enfoque arquitectónico de la industria. "¿Somos una industria de payasos?" Egorov
GateNewshace2h
El Consejo de Seguridad de Arbitrum Congela 30,766 ETH del Exploit de KelpDAO; 9 de 12 Miembros Votan a Favor
Arbitrum congeló 30,766 ETH del hack de KelpDAO, trabajó con las fuerzas del orden y recuperó aproximadamente una cuarta parte de los activos, mientras bloqueaba fondos a la espera de la gobernanza en medio de debates sobre descentralización versus seguridad.
Resumen: Este artículo informa que el Consejo de Seguridad de Arbitrum congeló 30,766 ETH (about $70 million) vinculados al exploit de KelpDAO, con nueve de doce votos, y movió los fondos a una billetera segura en coordinación con las fuerzas del orden. La operación solo se dirigió a los activos afectados para minimizar la interrupción de la red. Se sospecha que el explotador está asociado con la DPRK. La brecha comenzó el 18 de abril mediante un puente impulsado por LayerZero, drenando 116,500 rsETH (~$292 million). Se ha recuperado aproximadamente una cuarta parte de los activos robados. Los fondos congelados permanecerán bloqueados hasta que la gobernanza y las autoridades legales decidan los siguientes pasos, lo que impulsa el debate sobre la descentralización versus la seguridad.
GateNewshace3h
Los estafadores se hacen pasar por autoridades iraníes para extorsionar a propietarios de barcos varados en Bitcoin y Tether
Mensaje de Gate News, 21 de abril — Actores desconocidos enviaron mensajes fraudulentos a compañías navieras con buques varados al oeste del Estrecho de Ormuz, alegando ser autoridades iraníes y ofreciendo paso seguro a cambio de tasas pagadas en Bitcoin o Tether, según la firma griega de riesgos MARISKS. El mensaje
GateNewshace3h
