Дэвид Шварц, CTO Emeritus в Ripple, выявил закономерность в уязвимостях мостовой безопасности после того, как Kelp DAO rsETH bridge был скомпрометирован примерно на $292 миллионов. Во время своей оценки DeFi-систем мостов для использования RLUSD Шварц заметил, что поставщики мостов неизменно отдавали приоритет удобству, а не самым надежным механизмам безопасности, и полагает, что эта закономерность могла способствовать инциденту с Kelp DAO.
The Security Features Sales Pitch
В своем анализе, опубликованном в X, Шварц описал, как поставщики мостов делали акцент на передовых функциях безопасности, а затем сразу же предлагали, что эти функции являются опциональными. «Они в целом фактически рекомендовали не пользоваться самыми важными механизмами безопасности, потому что за это приходится платить удобством и эксплуатационной сложностью», — написал он.
Шварц отметил, что в ходе обсуждений оценки RLUSD поставщики подчеркивали простоту и легкость добавления нескольких цепочек «при неявном предположении, что мы не будем пользоваться их лучшими функциями безопасности». Он подвел итог этому противоречию: «Их торговая подача заключалась в том, что у них лучшие функции безопасности, но они просты в использовании и масштабируются — при условии, что вы не используете функции безопасности».
Что произошло с Kelp DAO
19 апреля Kelp DAO обнаружила подозрительную кроссчейн-активность с участием rsETH и приостановила контракты в основной сети и в нескольких сетях уровня 2. Примерно 116,500 rsETH было выведено через вызовы контрактов, связанных с LayerZero, что составляет около $292 миллионов по текущим ценам.
Ончейн-анализ от D2 Finance установил первопричину как утечку приватного ключа в исходной цепочке, что создало проблему доверия с узлами OApp, которую злоумышленник использовал для манипулирования мостом.
LayerZero Security Configuration
Сам LayerZero предлагает надежные механизмы безопасности, включая децентрализованные сети верификации. Шварц предположил, что часть проблемы может быть связана с тем, что Kelp DAO выбрала не использовать ключевые функции безопасности LayerZero «из-за удобства».
Следователи выясняют, настроила ли Kelp DAO свою реализацию LayerZero с использованием минимальной схемы безопасности — в частности, с единой точкой отказа, где LayerZero Labs является единственным верификатором, — вместо применения более сложных, но существенно более безопасных вариантов, доступных через протокол.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
JPMorgan: эксплойты по безопасности в DeFi и стагнация TVL ограничивают институциональное внедрение
Сообщение Gate News, 23 апреля — аналитики JPMorgan во главе с управляющим директором Николаосом Панигиртзоглу заявили, что устойчивые эксплойты в децентрализованных финансах (DeFi) и слабый рост продолжают ограничивать институциональный интерес к сектору. Недавний взлом Kelp DAO стёр примерно $20 миллиард из общей стоимости, зафиксированной в DeFi TVL, всего за несколько дней, согласно репорту в среду
GateNews4ч назад
Министерство финансов США наложило санкции на камбоджийского сенатора за причастность к сети криптомошенничества
## Обзор
Министерство финансов США в четверг ввело санкции против камбоджийского сенатора Кока Ана и 28 связанных с ним организаций, как сообщило Управление по контролю за иностранными активами (OFAC). Мера направлена против того, что, по словам официальных лиц, является масштабной операцией по криптомошенничеству в Юго-Восточной Азии.
## The
CryptoFrontier5ч назад
Aave在KelpDAO漏洞利用之后冻结五个网络的rsETH储备
Gate News消息,4月23日——随着4月18日KelpDAO漏洞利用事件加速,Aave已在以太坊核心、Arbitrum、Base、Mantle和Linea上冻结rsETH储备;该事件导致116,500 rsETH被从Kelp的跨链桥中抽走,价值约为$292 百万,并正加紧恢复工作。
多个D
GateNews7ч назад
JPMorgan: DeFi-хакеры встречаются все чаще, и TVL простаивает — механизм сжатия привлекает интерес, капитал перетекает в USDT
Отчет JPMorgan считает, что в DeFi продолжаются уязвимости, атаки с использованием кроссчейн-мостов и оракулов участились, из-за чего TVL стоит на месте и снижается желание институциональных инвесторов; средства перетекают в USDT, который можно отслеживать и замораживать. Атаки на KelpDAO и Rhea Finance раскрывают риски управления рисками; централизованные стейблкоины и кастодиальные решения пользуются большим спросом. В долгосрочной перспективе для улучшений нужно выйти за рамки страхования и управления (governance); DeFi не сможет вернуться к высоким TVL 2021 года, а стейблкоины станут еще более сосредоточенными.
ChainNewsAbmedia7ч назад
Главный экономист Circle предлагает повысить ставки USDC на Aave на фоне последствий KelpDAO
Сообщение Gate News, 23 апреля — Гордон Ляо, главный экономист Circle, на этой неделе предложил повысить параметры кредитования USDC на Aave v3 Ethereum Core после $292 млн взлома KelpDAO rsETH, который вызвал кризис ликвидности во всём протоколе. В своем Request for Comment Ляо предлагает увеличить "Slope 2" до 40% при целевом значении 50% и снизить оптимальную загрузку, чтобы привлечь новые депозиты и снять давление на рынке.
The proposal stems from acute pressure on Aave's USDC pool, which has remained essentially pinned at full utilization for four days. At the current rate of roughly 14%, Liao argues, repayments are absorbed almost entirely by queued withdrawals rather than restoring usable liquidity. The KelpDAO incident has cascaded across DeFi markets, causing Aave's total value locked to plummet from above billion before the exploit to roughly $15.3 billion, with steep withdrawals and persistent utilization pressure across core markets.
Community feedback on Aave's governance forum has quickly raised liquidation concerns. Analysis shared in response to the proposal found that the target rate curve could push approximately $70.1 million of material debt closer to liquidation over 30 days, with one large wallet accounting for most of the exposure. Critics argue that steeper rates would shift pain from lenders stuck in withdrawal queues to borrowers operating with thin health-factor cushions. Additionally, some community members have questioned why Circle, as USDC's issuer, is pursuing governance-based solutions rather than providing direct liquidity support. Liao noted that his post reflects "personal views only, not representing those of Circle."
GateNews8ч назад
Крупное обновление CEX: улучшена система выявления мошенничества с машинным обучением и движком правил, время реагирования сокращено до часов
Сообщение Gate News, 23 апреля — Крупная централизованная биржа объявила о модернизации своей системы противодействия мошенничеству путем интеграции моделей машинного обучения с движками на основе правил, внедрив двухконтурную стратегию, при которой модели обеспечивают долгосрочную защиту, а правила позволяют действовать быстро. Единая платформа
GateNews8ч назад
