David Schwartz, CTO Emérito da Ripple, identificou um padrão em vulnerabilidades de segurança de bridges após a ponte rsETH do Kelp DAO ter sido explorada por aproximadamente $292 milhões. Durante sua avaliação de sistemas de bridging DeFi para uso do RLUSD, Schwartz observou que os provedores de ponte consistentemente colocavam em segundo plano seus mecanismos de segurança mais robustos em favor da conveniência, um padrão que ele acredita que pode ter contribuído para o incidente do Kelp DAO.
O Discurso de Venda dos Recursos de Segurança
Na análise que ele compartilhou no X, Schwartz descreveu como os provedores de bridge faziam pitches de recursos avançados de segurança com destaque, e então imediatamente sugeriam que esses recursos seriam opcionais. “Em geral, eles efetivamente recomendaram não se dar ao trabalho de usar os mecanismos de segurança mais importantes porque há custos de conveniência e de complexidade operacional”, escreveu ele.
Schwartz observou que, durante discussões de avaliação do RLUSD, os provedores enfatizavam simplicidade e facilidade para adicionar múltiplas cadeias “com a suposição implícita de que não iríamos usar as melhores características de segurança que eles tinham”. Ele resumiu a contradição: “O discurso de venda deles era que eles têm os melhores recursos de segurança, mas são fáceis de usar e de escalar, assumindo que você não usa os recursos de segurança.”
O que Aconteceu com o Kelp DAO
Em 19 de abril, o Kelp DAO identificou uma atividade transchain suspeita envolvendo rsETH e pausou contratos na mainnet e em várias redes de camada 2. Aproximadamente 116.500 rsETH foram drenados por meio de chamadas de contratos relacionadas ao LayerZero, no valor de cerca de $292 milhões aos preços atuais.
A análise on-chain da D2 Finance apontou a causa raiz para um vazamento de chave privada na cadeia de origem, que criou um problema de confiança com nós OApp que o atacante explorou para manipular a ponte.
Configuração de Segurança do LayerZero
O próprio LayerZero oferece mecanismos robustos de segurança, incluindo redes descentralizadas de verificação. Schwartz levantou a hipótese de que parte do problema pode decorrer de o Kelp DAO ter decidido não usar recursos-chave de segurança do LayerZero “por conveniência”.
Investigadores estão examinando se o Kelp DAO configurou sua implementação do LayerZero usando uma configuração mínima de segurança — especificamente, um único ponto de falha com o LayerZero Labs como o único verificador — em vez de utilizar as opções mais complexas, porém significativamente mais seguras, disponíveis por meio do protocolo.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Golpe de deepfake engana desenvolvedor de Cardano, revela nova fraqueza
Um desenvolvedor da Cardano diz que uma chamada de vídeo deepfake de IA realista levou a uma invasão de laptop, um lembrete de que a próxima onda de ataques cripto pode começar com rostos e vozes em vez de contratos inteligentes.
O aviso, compartilhado com a comunidade da Cardano, descreve um incidente no qual um impostor usou
DailyCoin12m atrás
Promotores Federais Franceses Indiciam 88 em Rede de Ataque com “Wrench” em Cripto
As autoridades francesas acusaram 88 pessoas, incluindo 10 menores, em conexão com sequestros e extorsões direcionadas a proprietários de criptomoedas, de acordo com uma declaração do Ministério Público Nacional para Crimes Organizados (PNACO) divulgada na sexta-feira. As acusações estão relacionadas a 12 investigações em andamento
CryptoFrontier2h atrás
Quando o DeFi é lento demais para os jovens e perigoso demais para o dinheiro antigo: nós todos estamos ganhando juros de títulos do governo para assumir o risco de títulos podres?
DeFi já atraiu jovens com APY de cinco dígitos; agora é visto como precificado demais e com risco excessivamente alto. No ano passado, foram roubados mais de 1,62 bilhão de dólares, e a taxa do Aave chegou a disparar para 12,4%. O rendimento justo é de cerca de 12,55%, com limite para varejo de 18%, e as instituições preferem “isolamento de estratégias em tesourarias” para reduzir o risco de cauda. Conclusão: alta alavancagem já não existe mais; no futuro, será necessário um precificação de risco mais alta e ferramentas de seguro para acomodar tanto os jovens quanto o dinheiro antigo.
ChainNewsAbmedia6h atrás
Robinhood alerta sobre e-mails de phishing enviados a alguns clientes
Mensagem do Gate News, 27 de abril — Robinhood alertou os usuários nas redes sociais que alguns clientes receberam e-mails fraudulentos na noite de domingo passado, alegando serem da noreply@robinhood.com, com a linha de assunto "Your recent login to Robinhood."
A tentativa de phishing decorreu do uso indevido do processo de criação da conta, e não de uma violação dos sistemas da empresa ou das contas de clientes.
GateNews6h atrás
Websea Crypto Exchange Faces Suspected Exit Scam, Withdrawal Channels Closed
Gate News message, April 27 — Crypto trading platform Websea has suspended withdrawals and closed its C2C (peer-to-peer) channels, with multiple users reporting the exchange appears to have conducted an exit scam. The platform initially restricted withdrawals before completely shutting down the C2C
GateNews7h atrás
Token RAVE dispara 110x em duas semanas e então despenca 98% no meio de alegações de manipulação de mercado
Mensagem do Gate News, 27 de abril — RAVE, o token nativo do projeto cultural nativo da RaveDAO ( a Web3 baseado em uma comunidade ), disparou 110x em duas semanas antes de despencar 98% ao longo de dois dias em 19-20 de abril, levando a comparações com o infame escândalo de manipulação de ações Lubo de 2007 na Coreia do Sul.
Em 18 de abril, RAVE r
GateNews10h atrás
