ديفيد شوارتز، كبير مسؤولي التكنولوجيا السابق (CTO Emeritus) في Ripple، حدد نمطًا في ثغرات أمان الجسور بعد استغلال جسر Kelp DAO rsETH لحوالي $292 مليون. أثناء تقييمه لأنظمة الربط (bridging) في التمويل اللامركزي (DeFi) لاستخدام RLUSD، لاحظ شوارتز أن مزودي الجسور كانوا يهمشون باستمرار أقوى آليات الأمان لديهم لصالح الراحة، وهو نمط يعتقد أنه قد يكون قد ساهم في حادثة Kelp DAO.
خطاب المبيعات لميزات الأمان
في تحليله الذي شاركه على X، وصف شوارتز كيف قام مزودو الجسور بالترويج لميزات أمان متقدمة بشكل بارز، ثم اقترحوا فورًا أن تلك الميزات اختيارية. “في العادة أوصوا بعدم عناء استخدام أهم آليات الأمان لأنها تأتي مع تكاليف تتعلق بالراحة والتعقيد التشغيلي”، كتب.
أشار شوارتز إلى أنه خلال مناقشات تقييم RLUSD، شدد المزودون على البساطة وسهولة إضافة سلاسل متعددة “مع الافتراض الضمني أننا لن نستخدم أفضل ميزات الأمان التي لديهم”. لخّص التناقض: “كان خطابهم التسويقي أن لديهم أفضل ميزات الأمان لكنها سهلة الاستخدام وقابلة للتوسع، بشرط ألا تستخدم ميزات الأمان.”
ماذا حدث لـ Kelp DAO
في 19 أبريل، حددت Kelp DAO نشاطًا عبر السلاسل (cross-chain) مريبًا يشمل rsETH وأوقفت العقود عبر الشبكة الرئيسية وشبكات الطبقة الثانية المتعددة. تم سحب حوالي 116,500 rsETH عبر استدعاءات عقود مرتبطة بـ LayerZero، بقيمة تقارب $292 مليون بالأسعار الحالية.
وفقًا لتحليل على السلسلة من D2 Finance، تعود الجذور إلى تسرب مفتاح خاص على السلسلة المصدر، ما أدى إلى مشكلة ثقة مع عقد OApp التي استغلها المهاجم للتلاعب بالجسر.
إعدادات أمان LayerZero
يوفر LayerZero نفسه آليات أمان قوية، بما في ذلك شبكات تحقق لامركزية. تخيل شوارتز أن جزءًا من المشكلة قد ينشأ عن اختيار Kelp DAO عدم استخدام ميزات أمان LayerZero الأساسية “من باب الراحة”.
يبحث المحققون فيما إذا كانت Kelp DAO قد قامت بتكوين تنفيذ LayerZero الخاص بها باستخدام إعداد أمان أدنى—بالتحديد، نقطة فشل واحدة مع LayerZero Labs كمُحقق وحيد—بدلًا من الاستفادة من الخيارات الأكثر تعقيدًا لكنها أكثر أمانًا بكثير المتاحة عبر البروتوكول.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
Kelp DAO Hack Attributed to Lazarus Group; eth.limo Domain Hijacked via Social Engineering
LayerZero reported that the Kelp DAO exploit, attributed to North Korea's Lazarus Group, led to a loss of $292 million in rsETH tokens due to vulnerabilities in its decentralized verifier network. Additionally, eth.limo faced a domain hijacking from a social engineering attack, but DNSSEC mitigated severe damage.
GateNewsمنذ 2 س
DeFi 黑客事件引发 Aave 出现 $9 十亿规模资金外流:被盗代币被用作抵押
最近一次从加密项目中转走了近 $300 百万的黑客攻击,导致 Aave 出现流动性危机;用户因此撤回了约 $9 十亿资金。对抵押品质量的担忧促使大规模提款,凸显了 DeFi 借贷中的风险。
GateNewsمنذ 2 س
هجوم تصيّد إلكتروني على إيثريوم يستنزف $585K من أربعة مستخدمين، مستخدم واحد يخسر $221K WBTC
شن هجوم تصيّد إلكتروني منسّق على إيثريوم تمكّن من سحب 585,000 دولار من أربعة ضحايا، مستغلًا أذونات المستخدمين عبر رابطٍ خادع. يسلط هذا الحادث الضوء على الخسارة السريعة للأموال عبر الهندسة الاجتماعية، حتى عندما يكون الأمر متخفّيًا خلف مظهر الشرعية.
GateNewsمنذ 4 س
انتبه إلى محتوى التوقيع! تعرضت Vercel لابتزاز إلكتروني بمبلغ 2 مليون دولار، واتفاقيات التشفير ترفع حالة التأهب بشأن أمان الواجهة الأمامية
منصة تطوير السحابة Vercel تعرضت لاختراق من قِبل قراصنة في 19 أبريل. وقد حصل المهاجمون على صلاحيات الوصول عبر أداة ذكاء اصطناعي تابعة لجهة خارجية يستخدمها الموظفون، وهددوا بالابتزاز مقابل 200 مليون دولار. ورغم عدم الوصول إلى البيانات الحساسة، إلا أن بيانات أخرى قد تكون قد استُخدمت. وقد أثار هذا الحادث مخاوف أمنية داخل مجتمع العملات الرقمية، حيث يجري Vercel حاليًا تحقيقًا ويُنصح المستخدمون بتغيير مفاتيحهم.
ChainNewsAbmediaمنذ 5 س
تُكبِّد KelpDAO خسارة $290M في هجوم LayerZero على طبقة Lazarus Group
واجهت KelpDAO خسارة بمقدار $290 مليون دولار بسبب اختراق أمني معقد مرتبط بمجموعة Lazarus. استغل الهجوم نقاط ضعف في إعدادات نظام التحقق لديها، وسلط الضوء على مخاطر الاعتماد على إعداد تحقق واحد من نقطة واحدة. يؤكد خبراء الصناعة على ضرورة تحسين إعدادات الأمان والتحقق متعدد الطبقات لمنع وقوع حوادث مستقبلية.
CryptoFrontierمنذ 6 س
استجابة LayerZero لحدث Kelp DAO بقيمة 292 مليونًا: يشير إلى أن Kelp قامت بتكوين 1-of-1 DVN اختياريًا، وأن المهاجم هو Lazarus التابع لكوريا الشمالية
أصدرت LayerZero بيانًا بشأن حادث الاختراق الذي استهدف Kelp DAO بمبلغ 292 مليون دولار، واتهمت أن إعداد Kelp المخصص لـ 1-of-1 DVN هو ما جعل الحادث ممكنًا، وأن الجهة المهاجمة هي مجموعة Lazarus الكورية الشمالية. أكدت LayerZero أن هذا الحادث ناتج عن خيارات التكوين، وأنها لن تدعم بعد الآن هذا النوع من الإعدادات الهشة. علاوة على ذلك، لا تزال مسؤولية القضية محل جدل، ولم تقدم أي خطة لتعويض الأضرار.
ChainNewsAbmediaمنذ 6 س
