الرئيس التقني لشركة Ripple: استغلال Kelp DAO يعكس مفاضلات أمان الجسور

ديفيد شوارتز، كبير مسؤولي التكنولوجيا السابق (CTO Emeritus) في Ripple، حدد نمطًا في ثغرات أمان الجسور بعد استغلال جسر Kelp DAO rsETH لحوالي $292 مليون. أثناء تقييمه لأنظمة الربط (bridging) في التمويل اللامركزي (DeFi) لاستخدام RLUSD، لاحظ شوارتز أن مزودي الجسور كانوا يهمشون باستمرار أقوى آليات الأمان لديهم لصالح الراحة، وهو نمط يعتقد أنه قد يكون قد ساهم في حادثة Kelp DAO.

خطاب المبيعات لميزات الأمان

في تحليله الذي شاركه على X، وصف شوارتز كيف قام مزودو الجسور بالترويج لميزات أمان متقدمة بشكل بارز، ثم اقترحوا فورًا أن تلك الميزات اختيارية. “في العادة أوصوا بعدم عناء استخدام أهم آليات الأمان لأنها تأتي مع تكاليف تتعلق بالراحة والتعقيد التشغيلي”، كتب.

أشار شوارتز إلى أنه خلال مناقشات تقييم RLUSD، شدد المزودون على البساطة وسهولة إضافة سلاسل متعددة “مع الافتراض الضمني أننا لن نستخدم أفضل ميزات الأمان التي لديهم”. لخّص التناقض: “كان خطابهم التسويقي أن لديهم أفضل ميزات الأمان لكنها سهلة الاستخدام وقابلة للتوسع، بشرط ألا تستخدم ميزات الأمان.”

ماذا حدث لـ Kelp DAO

في 19 أبريل، حددت Kelp DAO نشاطًا عبر السلاسل (cross-chain) مريبًا يشمل rsETH وأوقفت العقود عبر الشبكة الرئيسية وشبكات الطبقة الثانية المتعددة. تم سحب حوالي 116,500 rsETH عبر استدعاءات عقود مرتبطة بـ LayerZero، بقيمة تقارب $292 مليون بالأسعار الحالية.

وفقًا لتحليل على السلسلة من D2 Finance، تعود الجذور إلى تسرب مفتاح خاص على السلسلة المصدر، ما أدى إلى مشكلة ثقة مع عقد OApp التي استغلها المهاجم للتلاعب بالجسر.

إعدادات أمان LayerZero

يوفر LayerZero نفسه آليات أمان قوية، بما في ذلك شبكات تحقق لامركزية. تخيل شوارتز أن جزءًا من المشكلة قد ينشأ عن اختيار Kelp DAO عدم استخدام ميزات أمان LayerZero الأساسية “من باب الراحة”.

يبحث المحققون فيما إذا كانت Kelp DAO قد قامت بتكوين تنفيذ LayerZero الخاص بها باستخدام إعداد أمان أدنى—بالتحديد، نقطة فشل واحدة مع LayerZero Labs كمُحقق وحيد—بدلًا من الاستفادة من الخيارات الأكثر تعقيدًا لكنها أكثر أمانًا بكثير المتاحة عبر البروتوكول.