David Schwartz, CTO Emérito da Ripple, identificou um padrão em vulnerabilidades de segurança em pontes após a ponte rsETH da Kelp DAO ter sido explorada por aproximadamente $292 milhões. Durante a sua avaliação de sistemas de bridging DeFi para uso de RLUSD, Schwartz observou que os fornecedores de pontes desvalorizavam consistentemente os seus mecanismos de segurança mais robustos em favor da conveniência, um padrão que acredita poder ter contribuído para o incidente da Kelp DAO.
A Abordagem de Vendas das Funcionalidades de Segurança
Na sua análise partilhada no X, Schwartz descreveu como os fornecedores de pontes promoviam de forma proeminente funcionalidades de segurança avançadas e, logo de seguida, sugeriam que essas funcionalidades eram opcionais. “Em geral, recomendam na prática não se preocupar em utilizar os mecanismos de segurança mais importantes porque têm custos de conveniência e de complexidade operacional”, escreveu.
Schwartz notou que, durante as discussões de avaliação do RLUSD, os fornecedores destacaram a simplicidade e a facilidade de adicionar múltiplas cadeias “com a suposição implícita de que não nos preocuparíamos em utilizar as melhores funcionalidades de segurança de que dispunham”. Resumiu a contradição: “A abordagem de vendas era que têm as melhores funcionalidades de segurança, mas são fáceis de usar e escalar, assumindo que não utiliza as funcionalidades de segurança.”
O que Aconteceu à Kelp DAO
A 19 de abril, a Kelp DAO identificou uma atividade suspeita entre cadeias envolvendo rsETH e colocou contratos em pausa em mainnet e em várias redes de Layer 2. Aproximadamente 116.500 rsETH foram drenados através de chamadas de contratos relacionadas com LayerZero, no valor de cerca de $292 milhões aos preços atuais.
A análise on-chain da D2 Finance apontou a causa raiz para uma fuga de chave privada na cadeia de origem, que criou um problema de confiança com nós OApp que o atacante explorou para manipular a ponte.
Configuração de Segurança do LayerZero
O próprio LayerZero oferece mecanismos de segurança robustos, incluindo redes de verificação descentralizadas. Schwartz levantou a hipótese de que parte do problema pode advir de a Kelp DAO ter optado por não utilizar funcionalidades-chave de segurança do LayerZero “por conveniência”.
Os investigadores estão a avaliar se a Kelp DAO configurou a sua implementação do LayerZero com uma configuração mínima de segurança—especificamente, um único ponto de falha com a LayerZero Labs como único verificador—em vez de utilizar as opções mais complexas, mas significativamente mais seguras, disponíveis através do protocolo.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Criminosos que se fazem passar por funcionários iranianos exigem Bitcoin e USDT a embarcações no Estreito de Ormuz
Mensagem das Notícias Gate, 21 de Abril — Criminosos que se fazem passar por funcionários iranianos estão a exigir Bitcoin (BTC) e Tether (USDT) como taxas de passagem das embarcações no Estreito de Ormuz, segundo um aviso da MARISKS, uma empresa de gestão de risco marítimo sediada na Grécia. O esquema promete falsamente "autorização de passagem segura"
GateNews1h atrás
Ataque Cripto que Drena $300M Pode Fazer Wall Street Abrandar as Suas Ambições em Blockchain
Mensagem do Gate News, 21 de abril — Um ataque durante o fim de semana que drenou quase $300 milhões de um pequeno projecto de cripto e desencadeou uma corrida de $10 biliões na maior plataforma de empréstimos descentralizados poderá abrandar o crescente interesse de Wall Street na tecnologia blockchain, segundo um relatório da Jefferies LLC divulgado na terça-feira
GateNews1h atrás
Investigador de Segurança Divulga Vulnerabilidade 0-day do CometBFT; Roubo Directo de Activos Não É Possível
Notícia da Gate, 21 de Abril — O investigador de segurança Doyeon Park divulgou uma vulnerabilidade crítica 0-day (CVSS 7.1) no CometBFT, a camada de consenso do Cosmos, segundo uma publicação no X. A falha poderá fazer com que os nós da rede fiquem bloqueados durante a sincronização de blocos, interrompendo as operações do sistema, mas não pode resultar diretamente em roubo de activos.
GateNews4h atrás
Falsos Impersonadores de Polícias Forçam Casal Francês a Transferir Quase $1M em Bitcoin
Criminosos que se faziam passar por polícias em França coagiram um casal a transferir quase $1M em Bitcoin, recorrendo ao medo e à autoridade num "ataque com alicate" que explora pessoas, não carteiras.
Resumo: Os atacantes usaram falsificação de identidade e coação psicológica para forçar uma transferência de Bitcoin, ilustrando um ataque com alicate que visa a vulnerabilidade humana em vez de explorações técnicas de carteiras.
GateNews5h atrás
Tentativa de assalto à mão armada a um profissional de cripto francês frustrada; suspeito detido
Mensagem de notícias da Gate, 21 de abril — Um profissional de cripto com 40 anos em Saint-Jean-de-Védas, perto de Montpellier, França, impediu uma tentativa de assalto à mão armada na sua casa. O suspeito, disfarçado de funcionário de entregas, entrou na residência e exigiu que a vítima entregasse as chaves privadas da carteira de criptomoedas
GateNews6h atrás
