Девід Шварц, CTO Emeritus у Ripple, виявив закономірність у вразливостях безпеки мостів після того, як Kelp DAO rsETH-міст був експлойтнутий приблизно на $292 мільйон. Під час оцінювання DeFi-систем бриджування для використання RLUSD Шварц помітив, що постачальники мостів систематично знижували пріоритет своїх найнадійніших механізмів безпеки на користь зручності — закономірність, яку він вважає такою, що могла сприяти інциденту з Kelp DAO.
Презентація безпекових функцій
У своєму аналізі, яким він поділився у X, Шварц описав, як постачальники мостів просували на перший план передові функції безпеки, а потім одразу ж пропонували, що ці функції є опційними. «Зазвичай вони фактично рекомендували не користуватися найважливішими механізмами безпеки, тому що є витрати, пов’язані зі зручністю та операційною складністю», — написав він.
Шварц зазначив, що під час обговорень оцінювання RLUSD постачальники робили акцент на простоті та легкості додавання кількох мереж «за замовчуванням, що ми не будемо користуватися найкращими функціями безпеки, які в них є». Він підсумував суперечність: «Їхня торгова пропозиція була в тому, що в них є найкращі функції безпеки, але ними легко користуватися й вони масштабуються — за умови, що ви не використовуєте функції безпеки».
Що сталося з Kelp DAO
19 квітня Kelp DAO виявив підозрілу кросчейн-активність із rsETH і призупинив контракти в основній мережі та на кількох мережах рівня 2. Приблизно 116,500 rsETH було виведено через виклики контрактів, пов’язаних із LayerZero, що становить близько $292 мільйонів за поточними цінами.
Ончейн-аналіз від D2 Finance встановив першопричину як витік приватного ключа в вихідній мережі, що створив проблему довіри для вузлів OApp, яку атакувальник використав для маніпулювання мостом.
Налаштування безпеки LayerZero
Сам LayerZero пропонує надійні механізми безпеки, зокрема децентралізовані мережі верифікації. Шварц припустив, що частина проблеми може полягати в тому, що Kelp DAO вирішив не використовувати ключові функції безпеки LayerZero «з міркувань зручності».
Дослідники з’ясовують, чи налаштував Kelp DAO свою реалізацію LayerZero, використовуючи мінімальну схему безпеки — зокрема, єдину точку відмови з LayerZero Labs як єдиним верифікатором — замість того, щоб використовувати більш складні, але значно безпечніші опції, доступні через протокол.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
JPMorgan: Експлойти безпеки DeFi та застійний TVL обмежують інституційне впровадження
Повідомлення Gate News, 23 квітня — аналітики JPMorgan на чолі з керівником Ніколаосом Панігірцоглоу заявили, що стійкі експлойти в децентралізованих фінансах (DeFi) та слабке зростання й надалі обмежують інституційний інтерес до цього сектору. Нещодавній злом Kelp DAO стер приблизно $20 мільярд із сукупної вартості, заблокованої в DeFi TVL, всього за кілька днів, згідно з повідомленням у середу.
GateNews21хв. тому
США запровадили санкції проти камбоджійського сенатора за мережу шахрайства з криптовалютою
Офіс з контролю за іноземними активами (Office of Foreign Assets Control) (OFAC) Міністерства фінансів США has санкціонував камбоджійського сенатора Кок Ан та 28 пов’язаних із ним осіб і організацій за роботу криптовалютних шахрайських мереж, націлених на американців, згідно з повідомленням OFAC, оприлюдненим у четвер. Санкція є наслідком поліцейських облав на дві шахрайські
CryptoFrontier1год тому
Aave призупиняє операції з резервом rsETH у всіх мережах Ethereum, Arbitrum та інших, щоб пом’якшити системний ризик
Повідомлення Gate News, 23 квітня — Aave оголосила, що призупинила операції, пов’язані з резервом rsETH, у межах Ethereum mainnet, Arbitrum, Base, Mantle та Linea, щоб пом’якшити системний ризик під час процесу відновлення активів.
Заходи спрямовані на збереження додаткових коштів, доки план відновлення
GateNews2год тому
JPMorgan: Часті атаки DeFi-хакерів і те, що механізм стиснення інтересу до TVL зупинився, спричинили перетікання коштів у USDT
Звіт JPMorgan вважає, що DeFi й надалі зазнає вразливостей, міжланцюгові мости та атаки на оракули відбуваються часто, через що TVL застоюється та знижується бажання інституцій інвестувати; кошти переходять у USDT, який можна відстежувати та який можна заморожувати. Атаки KelpDAO та Rhea Finance виявляють ризики в системах контролю; централізовані стейблкоїни та кастоді-провайдери користуються більшою популярністю; у довгостроковій перспективі, щоб покращити ситуацію, потрібно вийти за межі страхування та управління; DeFi навряд чи повернеться до високого TVL 2021 року, а стейблкоїни будуть ще більше концентруватися.
ChainNewsAbmedia2год тому
JPMorgan: інциденти безпеки в DeFi та застій TVL пригнічують інституційне впровадження
Повідомлення Gate News, 23 квітня — Гордон Ляо, головний економіст Circle, запропонував цього тижня підвищити параметри кредитування для USDC на Aave v3 Ethereum Core після експлойту KelpDAO rsETH на $292 мільйонів доларів, який спричинив кризу ліквідності в усьому протоколі. У своєму запиті на коментарі Ляо пропонує збільшити "Slope 2" до 40%, із цільовим рівнем 50%, а також знизити оптимальну завантаженість, щоб залучити нові депозити та послабити ринковий стрес.
Пропозиція виникла через гострий тиск на пул USDC в Aave, який уже чотири дні фактично був зафіксований на рівні повної завантаженості. За поточної ставки приблизно 14% Ляо стверджує, що погашення здебільшого поглинаються поставленими в чергу вилученнями, а не відновлюють доступну ліквідність. Інцидент KelpDAO перекинувся на ринки DeFi, спричинивши падіння загальної вартості, заблокованої в Aave, з понад мільярдів доларів до приблизно $15.3 мільярда, а також із різкими вилученнями та стійким тиском завантаженості на ключових ринках.
Відгуки спільноти на форумі управління Aave швидко підняли занепокоєння щодо ліквідацій. Аналіз, оприлюднений у відповідь на пропозицію, виявив, що крива цільової ставки може наблизити приблизно $70.1 мільйона матеріального боргу до ліквідації протягом 30 днів, причому один великий гаманець становить більшість підданості ризику. Критики стверджують, що більш круті ставки переклали б біль із кредиторів, які застрягли в чергах на вилучення, на позичальників, які працюють із тонкими подушками за health-factor. Крім того, деякі учасники спільноти поставили питання, чому Circle, як емітент USDC, націлений на рішення на основі управління, а не надання прямої підтримки ліквідності. Ляо зазначив, що його допис відображає "лише особисті погляди, не представляючи позицію Circle".
Тим часом ончейн-аналітик EmberCN повідомляє, що атакувальник KelpDAO обміняв майже всі 75,700 ETH, які все ще перебувають під його контролем — приблизно мільйонів — на bitcoin протягом приблизно півтора дня, переважно через THORChain. Ця активність згенерувала приблизно мільйонів доларів торгового обсягу в THORChain і приблизно $910,000 у комісіях.
GateNews3год тому
Крупне оновлення CEX: система виявлення шахрайства з машинним навчанням і модульним рушієм на правилах, скорочує час реагування до годин
Повідомлення Gate News, 23 квітня — Велика централізована біржа оголосила про модернізацію своєї системи протидії шахрайству шляхом інтеграції моделей машинного навчання з механізмами на основі правил, запровадивши стратегію подвійного контуру, де моделі відповідають за довгостроковий захист, а правила — за швидке реагування. Уніфікована платформа
GateNews3год тому
