David Schwartz, CTO Emeritus di Ripple, mengidentifikasi pola dalam kerentanan keamanan jembatan setelah bridge rsETH Kelp DAO dieksploitasi untuk sekitar $292 juta. Saat evaluasinya terhadap sistem bridging DeFi untuk penggunaan RLUSD, Schwartz mengamati bahwa penyedia bridge secara konsisten menomorduakan mekanisme keamanan mereka yang paling kuat demi kenyamanan, pola yang menurutnya mungkin telah berkontribusi pada insiden Kelp DAO.
Jurus Penjualan Fitur Keamanan
Dalam analisis yang dibagikannya di X, Schwartz menjelaskan bagaimana penyedia bridge mempromosikan fitur keamanan canggih secara menonjol, lalu segera menyarankan bahwa fitur-fitur tersebut bersifat opsional. “Mereka pada umumnya secara efektif merekomendasikan untuk tidak menggunakan mekanisme keamanan terpenting karena ada biaya kenyamanan dan kompleksitas operasional,” tulisnya.
Schwartz mencatat bahwa selama diskusi evaluasi RLUSD, para penyedia menekankan kesederhanaan dan kemudahan untuk menambahkan beberapa chain “dengan asumsi implisit bahwa kami tidak akan repot menggunakan fitur keamanan terbaik yang mereka miliki.” Ia merangkum kontradiksinya: “Materi promosi mereka adalah bahwa mereka memiliki fitur keamanan terbaik, tetapi mudah digunakan dan bisa diskalakan, dengan asumsi Anda tidak menggunakan fitur keamanan.”
Apa yang Terjadi pada Kelp DAO
Pada 19 April, Kelp DAO mengidentifikasi aktivitas lintas-rantai yang mencurigakan yang melibatkan rsETH dan menjeda kontrak di seluruh mainnet serta beberapa jaringan Layer 2. Sekitar 116.500 rsETH dikuras melalui panggilan kontrak terkait LayerZero, senilai sekitar $292 juta pada harga saat ini.
Analisis on-chain dari D2 Finance menelusuri akar masalahnya ke kebocoran kunci privat pada rantai sumber, yang menciptakan masalah kepercayaan dengan node OApp yang dieksploitasi penyerang untuk memanipulasi jembatan.
Konfigurasi Keamanan LayerZero
LayerZero sendiri menawarkan mekanisme keamanan yang kuat, termasuk jaringan verifikasi terdesentralisasi. Schwartz berspekulasi bahwa sebagian masalah mungkin berasal dari Kelp DAO yang memilih untuk tidak menggunakan fitur keamanan LayerZero kunci “demi kenyamanan.”
Para penyelidik sedang memeriksa apakah Kelp DAO mengonfigurasi implementasi LayerZero-nya dengan pengaturan keamanan minimal—secara khusus, satu titik kegagalan dengan LayerZero Labs sebagai satu-satunya verifier—daripada menggunakan opsi yang lebih kompleks namun jauh lebih aman yang tersedia melalui protokol.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Peneliti Keamanan Mengungkap Kerentanan 0-day CometBFT; Pencurian Aset Langsung Tidak Mungkin
Pesan Berita Gate, 21 April — Peneliti keamanan Doyeon Park mengungkapkan kerentanan 0-day kritis (CVSS 7.1) di CometBFT, lapisan konsensus Cosmos, menurut sebuah unggahan di X. Kelemahan ini dapat menyebabkan node jaringan terhenti saat sinkronisasi blok, mengganggu operasi sistem, tetapi tidak dapat secara langsung mengakibatkan pencurian aset.
GateNews2jam yang lalu
Penipu Polisi Palsu Memaksa Pasangan Prancis Memindahkan Hampir $1M dalam Bitcoin
Penjahat yang menyamar sebagai polisi di Prancis memaksa sepasang suami istri untuk memindahkan hampir $1M dalam Bitcoin, dengan menggunakan rasa takut dan otoritas dalam "serangan kunci pas" yang mengeksploitasi manusia, bukan dompet.
Abstrak: Pelaku menggunakan penyamaran dan pemaksaan psikologis untuk memaksa pemindahan Bitcoin, menyoroti serangan kunci pas yang menargetkan kerentanan manusia alih-alih eksploitasi teknis pada dompet.
GateNews3jam yang lalu
Upaya Perampokan Bersenjata terhadap Profesional Kripto Prancis Digagalkan; Tersangka Ditangkap
Pesan Gate News, 21 April — Seorang profesional industri kripto berusia 40 tahun di Saint-Jean-de-Védas, dekat Montpellier, Prancis, menggagalkan upaya perampokan bersenjata di rumahnya. Pelaku, menyamar sebagai petugas pengantaran, masuk ke tempat tinggal dan menuntut agar korban menyerahkan kunci privat dompet mata uang kripto
GateNews3jam yang lalu
KelpDAO $290M Eksploitasi Dikaitkan dengan Grup Lazarus Korea Utara
LayerZero mengaitkan eksploitasi senilai $290 juta terhadap konfigurasi rsETH lintas rantai KelpDAO kepada Kelompok Lazarus Korea Utara pada 18 April, dengan menyebut pelakunya sebagai “aktor negara yang sangat canggih.” Menurut LayerZero, insiden tersebut terbatas pada pengaturan rsETH KelpDAO dan tidak menyebar ke lainnya
CryptoFrontier4jam yang lalu
Penipu Menyamar sebagai Otoritas Iran Menuntut Pembayaran Bitcoin, USDT dari Kapal di Selat Hormuz
Pesan Berita Gate, 21 April — Penipu yang menyamar sebagai otoritas Iran telah menargetkan perusahaan pelayaran dengan kapal yang terdampar di sebelah barat Selat Hormuz, menuntut pembayaran Bitcoin dan Tether (USDT) sebagai imbalan atas pelayaran yang aman, menurut firma risiko maritim Marisks.
Para penipu
GateNews4jam yang lalu
