Comprar Cripto
Pagar com
USD
USD
Comprar e vender
Hot
Visa, Mastercard, SEPA e mais
P2P
0 Fees
Negociação flexível e sem taxas
Cartão Gate
Use criptomoedas para pagar pelo mundo
Mercados
Negociar
Básico
Avançado
Futuros
Futuros
Aceda a centenas de contratos perpétuos
CFD
Ouro
Plataforma de ativos tradicionais globais
Opções
Hot
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Negociação de demonstração
Introdução à negociação de futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para recompensas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Earn
Lançamento
CandyDrop
tag
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Pre-IPOs
Desbloquear acesso completo a IPO de ações globais
Pontos Alpha
Negoceie ativos on-chain para airdrops
Pontos de futuros
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Square
Square
Descubra valor em cripto
Em direto
moments live
Análise de mercado cripto em tempo real
Conversar
Converse com os operadores cripto
Notícias
O que está a acontecer na criptografia
flower_head
Mais
Promoções
AI
Outros
TradFi
WCTC S8
Recompensas

O CTO da Ripple: O Exploit do Kelp DAO Reflecte as Trocas de Segurança na Ponte

CryptoFrontier
Incidentes de segurançaRisco cambial
ZRO-6,32%

David Schwartz, CTO Emérito da Ripple, identificou um padrão em vulnerabilidades de segurança em pontes após a ponte rsETH da Kelp DAO ter sido explorada por aproximadamente $292 milhões. Durante a sua avaliação de sistemas de bridging DeFi para uso de RLUSD, Schwartz observou que os fornecedores de pontes desvalorizavam consistentemente os seus mecanismos de segurança mais robustos em favor da conveniência, um padrão que acredita poder ter contribuído para o incidente da Kelp DAO.

A Abordagem de Vendas das Funcionalidades de Segurança

Na sua análise partilhada no X, Schwartz descreveu como os fornecedores de pontes promoviam de forma proeminente funcionalidades de segurança avançadas e, logo de seguida, sugeriam que essas funcionalidades eram opcionais. “Em geral, recomendam na prática não se preocupar em utilizar os mecanismos de segurança mais importantes porque têm custos de conveniência e de complexidade operacional”, escreveu.

Schwartz notou que, durante as discussões de avaliação do RLUSD, os fornecedores destacaram a simplicidade e a facilidade de adicionar múltiplas cadeias “com a suposição implícita de que não nos preocuparíamos em utilizar as melhores funcionalidades de segurança de que dispunham”. Resumiu a contradição: “A abordagem de vendas era que têm as melhores funcionalidades de segurança, mas são fáceis de usar e escalar, assumindo que não utiliza as funcionalidades de segurança.”

O que Aconteceu à Kelp DAO

A 19 de abril, a Kelp DAO identificou uma atividade suspeita entre cadeias envolvendo rsETH e colocou contratos em pausa em mainnet e em várias redes de Layer 2. Aproximadamente 116.500 rsETH foram drenados através de chamadas de contratos relacionadas com LayerZero, no valor de cerca de $292 milhões aos preços atuais.

A análise on-chain da D2 Finance apontou a causa raiz para uma fuga de chave privada na cadeia de origem, que criou um problema de confiança com nós OApp que o atacante explorou para manipular a ponte.

Configuração de Segurança do LayerZero

O próprio LayerZero oferece mecanismos de segurança robustos, incluindo redes de verificação descentralizadas. Schwartz levantou a hipótese de que parte do problema pode advir de a Kelp DAO ter optado por não utilizar funcionalidades-chave de segurança do LayerZero “por conveniência”.

Os investigadores estão a avaliar se a Kelp DAO configurou a sua implementação do LayerZero com uma configuração mínima de segurança—especificamente, um único ponto de falha com a LayerZero Labs como único verificador—em vez de utilizar as opções mais complexas, mas significativamente mais seguras, disponíveis através do protocolo.

Ver fonte
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a Isenção de responsabilidade.
Related Articles

KelpDAO perde $290M no ataque ao LayerZero na camada Lazarus Group

Crypto Frontier04-20 06:22

rsETH ponte LayerZero foi roubada, várias soluções como a Aave congelam de forma urgente

Market Whisper04-20 03:12

A ponte Kelp é afetada por uma vaga de ataques e Aave, com queda acentuada do TVL que faz surgir 196 milhões em créditos de cobrança duvidosa

Market Whisper04-20 01:48

Kelp DAO sofre ataque informático de 292 milhões de dólares: ataque com mensagens falsificadas ao ponte cross-chain da LayerZero, o maior evento DeFi de 2026

ChainNewsAbmedia04-19 01:04
Comentar
0/400
LateBlockLarryvip
· 04-22 07:38
Assim que infraestruturas básicas como pontes tratam a segurança como uma opção, o que se segue é uma cena de acidente onde o dinheiro é queimado a cada segundo. Quando conveniência e segurança têm que ser uma escolha exclusiva, a parte do projeto deve sempre optar pela segunda.
Ver originalResponder0
Glass-HeartMarketMakervip
· 04-21 13:12
Chave privada comprometida + Para tornar mais "fácil" ao simplificar as opções de segurança, mesmo a LayerZero mais forte não consegue resistir a esse tipo de configuração, o risco da ponte muitas vezes é amplificado pelo erro humano.
Ver originalResponder0
FoldedCosmosCatvip
· 04-20 04:06
292M Esta taxa é demasiado cara…
Ver originalResponder0
0xNapvip
· 04-20 03:36
A probabilidade de LayerZero ser responsabilizado aumentou novamente, na verdade a causa raiz ainda é a gestão de chaves + configurações de segurança excessivamente simplificadas. Não confie na configuração padrão como sendo segura.
Ver originalResponder0
SummerNightColdWalletvip
· 04-20 03:28
Espero que desta vez possamos impulsionar uma padronização na segurança mínima de algumas pontes na indústria: múltiplas assinaturas/limite, isolamento de hardware, aprovação descentralizada, mecanismos de rollback/pausa, caso contrário, o próximo Kelp é apenas uma questão de tempo.
Ver originalResponder0
ColdBrewSparklingWatervip
· 04-20 03:25
说白了还是图省事出大事。
Responder0
OnchainComplainervip
· 04-20 03:16
O momento em que as características de segurança são "otimizadas" é que se coloca a bomba-relógio.
Ver originalResponder0
MevStreetPhotographervip
· 04-20 03:16
Lembre-se de uma frase: a ponte entre cadeias não é um problema de código, é uma questão de segurança operacional. Gestão de chaves privadas, isolamento de permissões, assinatura por limiar, alertas de auditoria, tudo isso é muito mais importante do que "lançar rapidamente".
Ver originalResponder0