Ripple 前首席技术官名誉主席 David Schwartz 在 Kelp DAO 的 rsETH 桥遭约 $292 百万次利用之后,识别出了桥接安全漏洞中的一种模式。在他评估用于 RLUSD 的 DeFi 桥接系统时,Schwartz 观察到桥接服务提供商会一贯将其最强大的安全机制降到优先级较低位置,以换取便利性;他认为这种模式可能促成了 Kelp DAO 事件。
安全功能推销话术
在他于 X 上分享的分析中,Schwartz 描述了桥接服务提供商如何将先进的安全功能进行醒目推介,随后又立刻暗示这些功能是可选的。“他们通常实际上建议不要使用最重要的安全机制,因为这样有便利性,并且避免了带来的运营复杂度成本,”他写道。
Schwartz 指出,在 RLUSD 评估讨论过程中,服务提供商强调简洁性以及“方便添加多条链”,而“隐含前提是我们不会去使用他们所拥有的最佳安全功能”。他总结这种矛盾:“他们的销售话术是他们拥有最好的安全功能,同时它们易于使用、可扩展,前提是你不使用这些安全功能。”
Kelp DAO 发生了什么
4 月 19 日,Kelp DAO 识别到涉及 rsETH 的可疑跨链活动,并在主网以及多个二层网络上暂停了合约。通过与 LayerZero 相关的合约调用,约有 116,500 rsETH 被转走,按当前价格计算约为 $292 million。
来自 D2 Finance 的链上分析将根因追溯到源链上的私钥泄露,这制造了与 OApp 节点之间的信任问题;攻击者正是利用该问题来操纵该桥。
LayerZero 安全配置
LayerZero 本身提供强大的安全机制,包括去中心化的验证网络。Schwartz 推测,问题的一部分可能源于 Kelp DAO 因“出于便利”而选择不使用关键的 LayerZero 安全功能。
调查人员正在审查:Kelp DAO 是否使用了最小化的安全设置来配置其 LayerZero 实现——具体来说,是仅将 LayerZero Labs 作为唯一验证者,从而形成单点故障,而不是使用协议中提供的更复杂但显著更安全的选项。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
加密黑客推动华尔街代币化辩论
高调的加密货币漏洞利用测试了 DeFi 的风险,但不太可能扰乱代币化;机构更偏好许可链,而更广泛的代币化必须与 DeFi 互操作;稳定币面临审查,并可能引发监管反弹。
Crypto Frontier1小时前
Volo Protocol 在 Sui 黑客事件中损失 350 万美元,承诺吸收损失并冻结黑客资金
Gate News 消息,4月22日——Volo Protocol 是 Sui 上的收益金库运营方,昨日 (4月21日) 宣布,在一次 350 万美元的漏洞利用之后,它已经开始冻结被盗资产。黑客从 Volo Vaults 窃取了 WBTC、XAUm 和 USDG,标志着该领域在一个历史上异常严峻的月份里发生的最新一次重大的 DeFi 安全事故。
GateNews4小时前
法国家庭遭持械入侵后被迫在加密货币转账 $820K
Gate News 消息,4 月 22 日——根据 The Block 的报道,法国布列塔尼地区一个小镇普洛达尔梅泽奥(Ploudalmézeau)的一个家庭在周一 (4 月 20 日)遭到两名持械蒙面男子入侵。三名成年人被捆绑超过三个小时,并被迫将约 700,000 欧元 (约 820,000 美元) i
GateNews5小时前
DOJ 启动 OneCoin 诈骗受害者赔偿流程,已追回资产达 4000 万美元以上可供分配
Gate 新闻消息,4月22日——美国司法部已宣布启动针对 OneCoin 加密货币诈骗案受害者的赔偿流程,现已有超过 $40 百万美元的已追回资产可供分配。
该案由 Ruja 在 2014 年至 2019 年期间运营,
GateNews6小时前
因涉及 26 亿美元欺诈指控而遭起诉:AI16Z、ELIZAOS 创作者;从峰值暴跌 99.9% 的代币崩盘
联邦集体诉讼指控 AI16Z/ELIZAOS 通过虚假的 AI 说法和误导性营销实施价值 26 亿美元的加密诈骗;指称存在内线偏袒,并指控该自主系统系精心布置的;并寻求依据消费者保护法获得损害赔偿。
摘要:本报告介绍一份在 4 月 21 日提起的 SDNY(纽约南区联邦地区法院)联邦集体诉讼。原告指控 AI16Z 及其改名后的 ELIZAOS 发生 26 亿美元的加密诈骗,涉及虚假的 AI 说法与误导性营销。诉讼称该项目与 Andreessen Horowitz 存在“人为制造”的关联,且其并非真正的自主系统。报告还披露了 2025 年初的峰值估值、99.9% 的暴跌,以及约 4,000 个遭受损失的钱包;同时,内线人员获得了约 40% 的新增代币。原告寻求依据纽约与加利福尼亚消费者保护法获得损害赔偿及衡平救济。韩国监管机构以及多家主要交易所已对相关交易发出警告或暂停相关交易。
GateNews8小时前
SlowMist 警报:正在活跃的 MacSync Stealer macOS 恶意软件,针对加密用户
SlowMist 警告 MacSync Stealer (v1.1.2),这是一款针对 macOS 的恶意信息窃取程序,会窃取钱包、凭据、钥匙串以及基础设施密钥,并通过伪造的 AppleScript 提示和虚假的“不支持”错误来实施;敦促保持谨慎并提高对 IOCs 的意识。
摘要:本报告概述了 SlowMist 关于 MacSync Stealer (v1.1.2) 的告警。该恶意程序是一种 macOS 信息窃取程序,目标是加密货币钱包、浏览器凭据、系统钥匙串以及基础设施密钥 (SSH、AWS、Kubernetes)。它通过伪造的 AppleScript 对话框欺骗用户,诱导其输入密码,并显示可见的虚假“不支持”消息。SlowMist 向客户提供 IOCs,并建议避免执行未经验证的 macOS 脚本,同时对异常的密码提示保持警惕。
GateNews9小时前
