Cryptonews

يقول مدير التكنولوجيا في Ripple إن تقييم RLUSD كشف عن نفس المخاطر التي استنزفت 292 مليون دولار من Kelp DAO

المصدر
cryptonewstrend.com
نُشر في
يقول مدير التكنولوجيا في Ripple إن تقييم RLUSD كشف عن نفس المخاطر التي استنزفت 292 مليون دولار من Kelp DAO

كان لدى ديفيد شوارتز، مدير التكنولوجيا الفخري في شركة Ripple، ملاحظة واضحة هذا الأسبوع بعد استغلال جسر Kelp DAO rsETH مقابل ما يقرب من 292 مليون دولار.

لقد رأى هذا قادمًا. ليس هذا الهجوم بالتحديد، ولكن الظروف التي جعلته ممكنا.

كتب شوارتز على X: "لقد قمت بتقييم الكثير من أنظمة تجسير التمويل اللامركزي لاستخدامها من قبل RLUSD. لقد ركزت بشكل شبه حصري على الجانب الأمني ​​والمخاطر. شيء واحد لاحظته هو أن معظم المخططات كانت مصممة بشكل جيد للغاية ولديها آليات قوية حقًا متاحة للحماية من نوع الهجوم الدقيق الذي يبدو أن حالة KelpDAO ناجمة عنه."

عرض المبيعات الذي دفن ميزات الأمان

ما وصفه شوارتز هو نمط واجهه مرارًا وتكرارًا أثناء عملية التقييم. يقوم موفرو Bridge بعرض ميزات الأمان الأكثر تقدمًا لديهم بشكل بارز، ثم يشيرون على الفور تقريبًا إلى أن هذه الميزات كانت اختيارية وأن معظم العملاء اختاروا عدم استخدامها.

وكتب: "لقد أوصوا بشكل عام بعدم الاهتمام باستخدام أهم الآليات الأمنية لأنها تنطوي على تكاليف ملائمة وتعقيد تشغيلي". "لقد تم عرض علينا في كثير من الأحيان بساطة وسهولة إضافة المزيد من السلاسل مع الافتراض الضمني بأننا لن نزعج أنفسنا باستخدام أفضل ميزات الأمان المتوفرة لديهم."

وقال: "كانت مبيعاتهم تتمثل في أنهم يتمتعون بأفضل ميزات الأمان ولكنهم سهلون الاستخدام والتوسع، على افتراض أنك لا تستخدم ميزات الأمان".

ما حدث بالفعل لKelp DAO

في 19 أبريل، حددت شركة Kelp DAO نشاطًا مشبوهًا عبر السلسلة يتضمن rsETH وأوقفت العقود مؤقتًا عبر الشبكة الرئيسية وشبكات الطبقة الثانية المتعددة. تم استنزاف ما يقرب من 116,500 rsETH من خلال مكالمات العقود المتعلقة بـ LayerZero، والتي تبلغ قيمتها حوالي 292 مليون دولار بالأسعار الحالية.

تتبع التحليل عبر السلسلة من D2 Finance السبب الجذري لتسرب المفتاح الخاص في السلسلة المصدر، مما أدى إلى إنشاء مشكلة ثقة في عقد OApp التي استغلها المهاجم للتلاعب بالجسر.

عرض شوارتز فرضيته الخاصة حول الخطأ الذي حدث على مستوى البروتوكول. وكتب: "لدي شعور مضحك بأن جزءًا من المشكلة سيكون شيئًا مثل اختيار KelpDAO لعدم استخدام ميزات أمان LayerZero الرئيسية من باب الراحة".

تقدم LayerZero نفسها آليات أمنية قوية بما في ذلك شبكات التحقق اللامركزية. السؤال الذي يدرسه المحققون الآن هو ما إذا كان Kelp DAO قد قام بتكوين تنفيذه باستخدام الحد الأدنى من إعدادات الأمان، وتحديدًا نقطة فشل واحدة مع LayerZero Labs باعتبارها أداة التحقق الوحيدة، بدلاً من الخيارات الأكثر تعقيدًا ولكن الأكثر أمانًا المتاحة.