David Schwartz, CTO Emeritus en Ripple, identificó un patrón en vulnerabilidades de seguridad en puentes después de que el puente rsETH de Kelp DAO fuera explotado por aproximadamente $292 millones. Durante su evaluación de sistemas de puente DeFi para el uso de RLUSD, Schwartz observó que los proveedores de puentes reiteradamente restaron prioridad a sus mecanismos de seguridad más sólidos en favor de la conveniencia; un patrón que él cree que pudo haber contribuido al incidente de Kelp DAO.
El discurso de venta de las funciones de seguridad
En su análisis compartido en X, Schwartz describió cómo los proveedores de puentes presentaron en primer plano funciones de seguridad avanzadas y, acto seguido, sugirieron que esas funciones eran opcionales. “En general, recomendaron efectivamente no molestarse en usar los mecanismos de seguridad más importantes porque tienen costos de conveniencia y de complejidad operativa”, escribió.
Schwartz señaló que durante las conversaciones de evaluación de RLUSD, los proveedores enfatizaron la sencillez y la facilidad para agregar múltiples cadenas “con la suposición implícita de que no nos molestaríamos en usar las mejores funciones de seguridad que tenían”. Resumió la contradicción: “Su discurso de venta fue que tienen las mejores funciones de seguridad pero son fáciles de usar y escalar, asumiendo que no usas las funciones de seguridad”.
Qué pasó con Kelp DAO
El 19 de abril, Kelp DAO identificó actividad sospechosa entre cadenas relacionada con rsETH y pausó contratos en el mainnet y en múltiples redes de Capa 2. Aproximadamente 116,500 rsETH se drenaron mediante llamadas de contratos relacionadas con LayerZero, con un valor de alrededor de $292 millones a precios actuales.
El análisis on-chain de D2 Finance rastreó la causa raíz hasta una filtración de clave privada en la cadena de origen, que creó un problema de confianza con los nodos de OApp que el atacante explotó para manipular el puente.
Configuración de seguridad de LayerZero
LayerZero en sí ofrece mecanismos de seguridad sólidos, incluidas redes de verificación descentralizadas. Schwartz planteó la hipótesis de que parte del problema puede derivarse de que Kelp DAO eligió no usar funciones clave de seguridad de LayerZero “por conveniencia”.
Los investigadores están examinando si Kelp DAO configuró su implementación de LayerZero usando una configuración de seguridad mínima: específicamente, un único punto de fallo con LayerZero Labs como el único verificador, en lugar de utilizar las opciones más complejas pero significativamente más seguras disponibles a través del protocolo.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
El exchange cripto ruso Grinex detiene sus operaciones tras un $13M hack, poniendo en riesgo la red de evasión de sanciones
El exchange ruso de criptomonedas Grinex dejó de operar después de un ciberataque que causó pérdidas de más de $13 millones. El cierre afecta la capacidad de las empresas rusas para convertir rublos a nivel internacional y pone a prueba el sistema de finanzas en la sombra del país.
GateNewshace2h
Hack de Kelp DAO atribuido al Grupo Lazarus; secuestro de dominio de eth.limo vía ingeniería social
LayerZero informó que el exploit de Kelp DAO, atribuido al Grupo Lazarus de Corea del Norte, provocó una pérdida de $292 millones de tokens en rsETH debido a vulnerabilidades en su red de verificador descentralizado. Además, eth.limo sufrió un secuestro de dominio mediante un ataque de ingeniería social, pero DNSSEC evitó daños graves.
GateNewshace6h
Un hack de DeFi provoca salidas por $9 mil millones desde Aave, ya que los tokens robados se usan como colateral
Un hack reciente que drenó casi $300 millones de un proyecto cripto provocó una crisis de liquidez en Aave, lo que llevó a los usuarios a retirar alrededor de $9 mil millones. Las preocupaciones sobre la calidad del colateral impulsaron las retiradas masivas, destacando los riesgos en el préstamo DeFi.
GateNewshace6h
Ataque de phishing de Ethereum desvía $585K Desde cuatro usuarios; una sola víctima pierde $221K WBTC
Un ataque coordinado de phishing de Ethereum vació $585,000 de cuatro víctimas, aprovechando permisos de usuario mediante un enlace engañoso. Este incidente destaca la pérdida rápida de fondos mediante ingeniería social, incluso bajo el aspecto de legitimidad.
GateNewshace8h
¡Ten cuidado con el contenido firmado! Vercel fue víctima de un ataque de ransomware por 2 millones de dólares; la seguridad del frontend del protocolo cripto enciende las alarmas
La plataforma de desarrollo en la nube Vercel fue comprometida por hackers el 19 de abril. Los atacantes obtuvieron acceso mediante una herramienta de IA de terceros utilizada por empleados y amenazaron con un rescate de 2 millones de dólares. Aunque no se accedió a los datos sensibles, es posible que otros datos ya hayan sido utilizados. El incidente ha generado preocupación de seguridad en la comunidad cripto; Vercel actualmente está realizando una investigación y recomienda a los usuarios cambiar sus claves.
ChainNewsAbmediahace10h
KelpDAO pierde $290M en el ataque a LayerZero del grupo Lazarus
KelpDAO enfrentó una pérdida de $290 millones debido a una sofisticada filtración de seguridad vinculada al Grupo Lazarus. El ataque explotó debilidades de configuración en su sistema de verificación y puso de relieve los riesgos de depender de una configuración de verificación de un solo punto. Los expertos de la industria hacen hincapié en la necesidad de mejorar las configuraciones de seguridad y la verificación en múltiples capas para prevenir incidentes futuros.
CryptoFrontierhace10h
