David Schwartz,Ripple 的榮譽首席技術官(CTO Emeritus),在 Kelp DAO rsETH 代幣橋遭到約 $292 百萬規模的利用攻擊之後,辨識出橋接安全漏洞中的一種模式。在他針對 RLUSD 用途評估去中心化金融(DeFi)橋接系統時,Schwartz 觀察到,橋接提供者會一再把其最強大的安全機制降為次要,轉而優先考量便利性;他認為這種模式可能助長了 Kelp DAO 事件。
The Security Features Sales Pitch
在他於 X 上分享的分析中,Schwartz 描述了橋接提供者如何把先進的安全功能放在宣傳重點上,接著又立刻建議這些功能是「可選的」。「他們通常實際上是在建議不要去使用最重要的安全機制,因為那會有便利性以及作業上的複雜度成本,」他寫道。
Schwartz 指出,在進行 RLUSD 評估的討論時,供應商強調「簡單」以及「輕鬆加入多條鏈」時,背後隱含的假設是「我們不會去使用他們所具備的最佳安全功能」。他總結了這種矛盾:「他們的銷售話術是:他們有最好的安全功能,而且用起來容易、能擴展,前提是你不要使用這些安全功能。」
What Happened to Kelp DAO
4 月 19 日,Kelp DAO 識別出涉及 rsETH 的可疑跨鏈活動,並在主網以及多個第二層(Layer 2)網路中暫停合約。約有 116,500 rsETH 透過與 LayerZero 相關的合約呼叫被排出,按目前價格計算約 $292 百萬。
D2 Finance 的鏈上分析將根因追溯到來源鏈上私鑰外洩,這導致與 OApp 節點之間的信任問題;攻擊者正是利用這個問題來操縱該橋。
LayerZero Security Configuration
LayerZero 本身提供強健的安全機制,包括去中心化的驗證網路。Schwartz 推測,問題的一部分可能來自 Kelp DAO 出於「便利」而選擇不使用關鍵的 LayerZero 安全功能。
調查人員正檢視 Kelp DAO 是否使用了最小化的安全設定來部署其 LayerZero 實作——也就是只設有單一故障點,並以 LayerZero Labs 作為唯一驗證者——而不是使用協議所提供、雖然更複雜但安全性顯著更高的選項。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
Vercel 遭入侵事件與 AI 工具 Context.ai 被入侵相關:對加密前端帶來風險
Vercel 確認了一起安全漏洞事件,原因是遭受入侵的 AI 工具導致,進而竊取了員工與客戶資料。此事件對 Web3 生態系構成風險,而攻擊者正試圖以 $2 百萬美元出售被竊資料。Vercel 正與執法機構及事件回應專家處理此事。
GateNews6分鐘前
rsETH LayerZero 橋被盜,Aave 等多協議緊急凍結
Kelp DAO 的流動性再質押代幣 rsETH 在 4 月 19 日遭到黑客利用跨鏈消息驗證漏洞攻擊,導致 116,500 枚 rsETH 被釋放至攻擊者控制的地址。多個 DeFi 協議緊急凍結相關功能,以應對潛在損失。LayerZero 官方表示正在積極修復漏洞,並將發佈事後分析報告。
Market Whisper2小時前
法國在 2025 年記錄 41 起與加密貨幣相關的綁架與入屋侵擾事件
2025 年,隨著所謂「扳手攻擊」事件升溫,法國記錄到 41 起與加密貨幣相關的綁架事件,並因此加強了針對區塊鏈活動的安保。全球的脅迫事件增加了 75%,其中法國在案件數上居首。目前正在努力提升安全性,並處理外界對法國可能成為加密貨幣樞紐的疑慮。
GateNews2小時前
eth.limo 域名遭劫持,EasyDNS 承認 28 年首次社交工程攻擊
eth.limo域名在4月17日遭到DNS劫持,攻擊者偽裝成團隊成員成功誘導域名註冊商EasyDNS執行帳戶恢復。雖然此次事件未對用戶造成影響,因為攻擊者未獲得DNSSEC金鑰,未能繞過信任鏈。此次事件突顯了加密領域中的社交工程風險,並促使eth.limo轉向不支援帳戶恢復的Domainsure服務,以加強安全性。
Market Whisper3小時前
Curve Finance 預防性暫停 LayerZero 跨鏈,CRV 及 crvUSD 橋接受限
Curve Finance因rsETH相關的LayerZero基礎設施遭受攻擊,已暫停跨鏈功能以預防風險,影響CRV的跨鏈橋接及crvUSD的快速橋接。創辦人Egorov指出此次事件顯示「非隔離借貸」的風險,並提出完全隔離模式作為替代方案。Kelp DAO則因攻擊損失約2.92億美元,影響Aave平台的借貸活動。
Market Whisper3小時前
Kelp 橋接被駭波及 Aave,TVL 暴跌浮現 1.96 億壞賬
流動性再質押協議Kelp的跨鏈橋遭攻擊,盜取116,500枚rsETH並存入Aave V3,形成約1.96億美元的壞賬。Aave的合約未受影響,但此次事件揭示LRT抵押品的系統性風險,要求DeFi協議重新評估風險模型,可能導致stkAAVE持有者面臨損失。
Market Whisper3小時前
