David Schwartz, CTO émérite chez Ripple, a identifié un schéma dans les vulnérabilités de sécurité des ponts après que le pont rsETH de Kelp DAO a été exploité pour environ $292 million. Lors de son évaluation des systèmes de pont DeFi pour l’usage du RLUSD, Schwartz a observé que les fournisseurs de ponts mettaient systématiquement en priorité moindre leurs mécanismes de sécurité les plus robustes au profit de la commodité, un schéma qu’il pense avoir pu contribuer à l’incident de Kelp DAO.
Le pitch de vente des fonctionnalités de sécurité
Dans son analyse partagée sur X, Schwartz a décrit comment les fournisseurs de ponts faisaient la promotion de fonctionnalités de sécurité avancées de manière très visible, puis suggéraient immédiatement que ces fonctionnalités étaient optionnelles. « En pratique, ils ont généralement recommandé de ne pas utiliser les mécanismes de sécurité les plus importants, parce qu’ils ont des coûts de commodité et de complexité opérationnelle », a-t-il écrit.
Schwartz a noté qu’au cours des discussions d’évaluation du RLUSD, les fournisseurs ont mis l’accent sur la simplicité et la facilité d’ajouter plusieurs chaînes « avec l’hypothèse implicite que nous ne nous donnerions pas la peine d’utiliser les meilleures fonctionnalités de sécurité qu’ils avaient ». Il a résumé la contradiction : « Leur argument de vente, c’était qu’ils ont les meilleures fonctionnalités de sécurité mais qu’elles sont faciles à utiliser et à mettre à l’échelle, en supposant que vous n’utilisiez pas les fonctionnalités de sécurité. »
Ce qui est arrivé à Kelp DAO
Le 19 avril, Kelp DAO a identifié une activité transfrontalière suspecte impliquant rsETH et a mis en pause des contrats sur le réseau principal et sur plusieurs réseaux de couche 2. Environ 116 500 rsETH ont été vidés via des appels de contrats liés à LayerZero, d’une valeur d’environ $292 million aux prix actuels.
L’analyse en chaîne de D2 Finance a retracé la cause racine à une fuite de clé privée sur la chaîne source, qui a créé un problème de confiance avec les nœuds OApp que l’attaquant a exploités pour manipuler le pont.
Configuration de sécurité de LayerZero
LayerZero lui-même offre des mécanismes de sécurité robustes, y compris des réseaux de vérification décentralisés. Schwartz a émis l’hypothèse qu’une partie du problème pourrait venir du fait que Kelp DAO a choisi de ne pas utiliser les fonctionnalités de sécurité clés de LayerZero « par commodité ».
Les enquêteurs examinent si Kelp DAO a configuré son implémentation de LayerZero avec une configuration de sécurité minimale—plus précisément, un point de défaillance unique avec LayerZero Labs comme seul vérificateur—plutôt que d’utiliser les options plus complexes, mais nettement plus sécurisées, disponibles via le protocole.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Mises à niveau majeures de la détection de fraude des CEX : systèmes d’apprentissage automatique et moteur de règles, temps de réponse réduit à des heures
Message de Gate News, 23 avril — Une grande bourse centralisée a annoncé une refonte de son système de lutte contre la fraude en intégrant des modèles d’apprentissage automatique à des moteurs basés sur des règles, en mettant en place une stratégie à double voie où les modèles assurent la défense à long terme et les règles permettent une réponse rapide. Le cadre unifié
GateNewsIl y a 1m
Meta Pool met en garde contre un contrat frauduleux qui imite le pool de staking officiel et le jeton
Message de Gate News, 23 avril — Meta Pool a identifié un contrat intelligent suspect qui tente d’usurper son pool de staking et son jeton légitimes. La plateforme a souligné que le contrat frauduleux n’a aucun lien avec Meta Pool ni avec un quelconque fournisseur officiel de NEAR liquid staking
GateNewsIl y a 27m
Volo Protocol confirme un exploit de 3,5 M$, et s’engage à couvrir les pertes
Message de Gate News, 23 avril — Volo Protocol a confirmé une faille de sécurité le 22 avril qui a entraîné la perte d’environ 3,5 millions $ d’actifs numériques. L’exploit a ciblé des coffres spécifiques utilisés par des clients pour déposer du Bitcoin, de l’or tokenisé et des stablecoins, bien que la plateforme dans son ensemble soit restée intacte
GateNewsIl y a 36m
Le fondateur d’une plateforme SocialFi arrêté pour des accusations d’étranglement, au milieu d’une poursuite pour arnaque au rug pull
Message de Gate News, 23 avril — Benjamin Pasternak, 26 ans, fondateur d’une plateforme SocialFi basée sur Solana, a été arrêté mardi pour des accusations d’étranglement au deuxième degré et d’agression au troisième degré, selon des documents du tribunal pénal de New York. L’arrestation a fait suite à un incident survenu le 31 mars. Pasternak
GateNewsIl y a 57m
La bourse polonaise Zondacrypto interrompt ses activités ; les clients ont perdu $95 millions, peuvent demander une indemnisation à l’État
Message de Gate News, le 23 avril — La bourse polonaise de cryptomonnaies Zondacrypto a cessé ses activités cette semaine dans un contexte de problèmes de solvabilité, les procureurs identifiant des centaines de victimes potentielles ayant perdu l’accès à au moins 350 millions de zlotys polonais (environ $95 millions). Les procureurs ont déclaré que
GateNewsIl y a 2h
19-Year-Old Chinese Student Trafficked to Myanmar Scam Ring, Family Pays $30K USDT Ransom But Victim Still Held
Gate News message, April 23 — A 19-year-old first-year university student from Guangdong, China, was trafficked to a fraud operation in Myanmar's Shan State after being lured to Thailand on April 10 under the guise of attending a water festival. After being intercepted in Bangkok, she was sold to a
GateNewsIl y a 3h
