Cryptonews

Der CTO von Ripple sagt, dass die RLUSD-Bewertung das gleiche Risiko aufgedeckt habe, das dem Kelp DAO 292 Millionen US-Dollar entzogen habe

Quelle
cryptonewstrend.com
Veröffentlicht
Der CTO von Ripple sagt, dass die RLUSD-Bewertung das gleiche Risiko aufgedeckt habe, das dem Kelp DAO 292 Millionen US-Dollar entzogen habe

David Schwartz, emeritierter CTO bei Ripple, machte diese Woche eine deutliche Bemerkung, nachdem die Kelp DAO rsETH-Brücke für etwa 292 Millionen US-Dollar ausgenutzt wurde.

Er hatte es kommen sehen. Nicht dieser konkrete Angriff, sondern die Bedingungen, die ihn ermöglichten.

„Ich habe viele DeFi-Überbrückungssysteme für den Einsatz durch RLUSD evaluiert“, schrieb Schwartz auf

Das Verkaufsargument, das die Sicherheitsmerkmale verbarg

Was Schwartz beschrieb, ist ein Muster, auf das er während seines Bewertungsprozesses wiederholt gestoßen ist. Bridge-Anbieter würden ihre fortschrittlichsten Sicherheitsfunktionen prominent hervorheben und dann fast sofort darauf hinweisen, dass diese Funktionen optional seien und dass die meisten Kunden sich entschieden hätten, sie nicht zu nutzen.

„Sie empfahlen im Allgemeinen, sich nicht die Mühe zu machen, die wichtigsten Sicherheitsmechanismen zu nutzen, da diese praktischer sind und Kosten für die betriebliche Komplexität mit sich bringen“, schrieb er. „Uns wurde häufig die Einfachheit und Leichtigkeit des Hinzufügens weiterer Ketten vorgeworfen, mit der impliziten Annahme, dass wir uns nicht die Mühe machen würden, die besten Sicherheitsfunktionen zu verwenden, die sie hatten.“

„Ihr Verkaufsargument war, dass sie über die besten Sicherheitsfunktionen verfügen, aber einfach zu verwenden und zu skalieren sind, vorausgesetzt, Sie nutzen die Sicherheitsfunktionen nicht“, sagte er.

Was tatsächlich mit Kelp DAO passiert ist

Am 19. April identifizierte Kelp DAO verdächtige kettenübergreifende Aktivitäten mit rsETH und pausierte Verträge im Mainnet und mehreren Layer-2-Netzwerken. Ungefähr 116.500 rsETH wurden durch Vertragsaufrufe im Zusammenhang mit LayerZero abgezogen, was einem Wert von rund 292 Millionen US-Dollar zu aktuellen Preisen entspricht.

Die On-Chain-Analyse von D2 Finance führte die Ursache auf ein Leck des privaten Schlüssels in der Quellkette zurück, das zu einem Vertrauensproblem mit OApp-Knoten führte, das der Angreifer ausnutzte, um die Brücke zu manipulieren.

Schwartz stellte seine eigene Hypothese darüber auf, was auf Protokollebene wahrscheinlich schief gelaufen ist. „Ich habe das komische Gefühl, dass ein Teil des Problems darin bestehen wird, dass KelpDAO sich aus Bequemlichkeit dafür entscheidet, wichtige LayerZero-Sicherheitsfunktionen nicht zu verwenden“, schrieb er.

LayerZero selbst bietet robuste Sicherheitsmechanismen, einschließlich dezentraler Verifizierungsnetzwerke. Die Frage, die die Ermittler nun untersuchen, ist, ob Kelp DAO seine Implementierung mit einem minimalen Sicherheitssetup konfiguriert hat, insbesondere mit einem Single Point of Failure mit LayerZero Labs als einzigem Verifizierer, und nicht mit den komplexeren, aber deutlich sichereren verfügbaren Optionen.