Cryptonews

El CTO de Ripple dice que la evaluación de RLUSD expuso el mismo riesgo que drenó $292 millones de Kelp DAO

Fuente
cryptonewstrend.com
Publicado
El CTO de Ripple dice que la evaluación de RLUSD expuso el mismo riesgo que drenó $292 millones de Kelp DAO

David Schwartz, CTO emérito de Ripple, hizo una observación puntual esta semana después de que el puente Kelp DAO rsETH fuera explotado por aproximadamente $292 millones.

Él lo había visto venir. No este ataque específico, sino las condiciones que lo hicieron posible.

"Evaluaré muchos sistemas de puente DeFi para uso de RLUSD", escribió Schwartz en X. "Me centré casi exclusivamente en el aspecto de seguridad y riesgo. Una cosa que noté es que la mayoría de los esquemas estaban muy bien diseñados y tenían mecanismos realmente fuertes disponibles para proteger exactamente contra el tipo de ataque que parece haber sido causado por la situación de KelpDAO".

El argumento de venta que enterró las características de seguridad

Lo que Schwartz describió es un patrón que encontró repetidamente durante su proceso de evaluación. Los proveedores de puentes presentaban de manera destacada sus funciones de seguridad más avanzadas y luego, casi de inmediato, sugerían que esas funciones eran opcionales y que la mayoría de los clientes optaban por no utilizarlas.

"En general, recomendaron no molestarse en utilizar los mecanismos de seguridad más importantes porque tienen costos de conveniencia y complejidad operativa", escribió. "Con frecuencia nos plantearon la simplicidad y facilidad de agregar más cadenas con la suposición implícita de que no nos molestaríamos en usar las mejores funciones de seguridad que tenían".

"Su argumento de venta fue que tienen las mejores funciones de seguridad, pero son fáciles de usar y escalar, suponiendo que no se utilicen las funciones de seguridad", dijo.

¿Qué pasó realmente con Kelp DAO?

El 19 de abril, Kelp DAO identificó actividad sospechosa entre cadenas que involucraba a rsETH y suspendió contratos en la red principal y múltiples redes de Capa 2. Aproximadamente 116,500 rsETH se drenaron a través de llamadas de contratos relacionados con LayerZero, por un valor de alrededor de $292 millones a precios actuales.

El análisis en cadena de D2 Finance rastreó la causa raíz hasta una fuga de clave privada en la cadena de origen, lo que creó un problema de confianza con los nodos OApp que el atacante aprovechó para manipular el puente.

Schwartz ofreció su propia hipótesis sobre lo que probablemente salió mal a nivel de protocolo. "Tengo la extraña sensación de que parte del problema será algo así como que KelpDAO decida no utilizar las funciones de seguridad clave de LayerZero por conveniencia", escribió.

El propio LayerZero ofrece mecanismos de seguridad sólidos que incluyen redes de verificación descentralizadas. La pregunta que los investigadores están examinando ahora es si Kelp DAO configuró su implementación utilizando una configuración de seguridad mínima, específicamente un único punto de falla con LayerZero Labs como único verificador, en lugar de las opciones más complejas pero significativamente más seguras disponibles.