Cryptonews

Le CTO de Ripple déclare que l'évaluation du RLUSD a exposé le même risque qui a drainé 292 millions de dollars de Kelp DAO

Source
cryptonewstrend.com
Publié
Le CTO de Ripple déclare que l'évaluation du RLUSD a exposé le même risque qui a drainé 292 millions de dollars de Kelp DAO

David Schwartz, CTO émérite chez Ripple, a fait une observation précise cette semaine après que le pont Kelp DAO rsETH a été exploité pour environ 292 millions de dollars.

Il avait vu cela venir. Pas cette attaque spécifique, mais les conditions qui l’ont rendue possible.

"J'ai évalué de nombreux systèmes de pontage DeFi destinés à être utilisés par RLUSD", a écrit Schwartz sur X. "J'étais presque exclusivement concentré sur l'aspect sécurité et risque. Une chose que j'ai remarquée est que la plupart des systèmes étaient très bien conçus et disposaient de mécanismes très puissants pour se protéger exactement du type d'attaque par lequel la situation de KelpDAO semble avoir été causée. "

L'argumentaire de vente qui a enterré les fonctionnalités de sécurité

Ce que Schwartz a décrit est une tendance qu’il a rencontrée à plusieurs reprises au cours de son processus d’évaluation. Les fournisseurs de ponts mettaient en avant leurs fonctionnalités de sécurité les plus avancées, puis suggéraient presque immédiatement que ces fonctionnalités étaient facultatives et que la plupart des clients choisissaient de ne pas les utiliser.

"Ils ont généralement recommandé de ne pas prendre la peine d'utiliser les mécanismes de sécurité les plus importants, car ils entraînent des coûts de commodité et de complexité opérationnelle", écrit-il. "On nous a souvent présenté la simplicité et la facilité d'ajouter plus de chaînes avec l'hypothèse implicite que nous ne prendrions pas la peine d'utiliser les meilleures fonctionnalités de sécurité dont elles disposaient."

"Leur argument de vente était qu'ils disposaient des meilleures fonctionnalités de sécurité, mais qu'ils étaient faciles à utiliser et à évoluer, en supposant que vous n'utilisiez pas les fonctionnalités de sécurité", a-t-il déclaré.

Qu'est-il réellement arrivé à Kelp DAO

Le 19 avril, Kelp DAO a identifié une activité inter-chaîne suspecte impliquant rsETH et a suspendu les contrats sur le réseau principal et plusieurs réseaux de couche 2. Environ 116 500 rsETH ont été drainés grâce aux appels de contrat liés à LayerZero, d'une valeur d'environ 292 millions de dollars aux prix actuels.

L'analyse en chaîne de D2 Finance a retracé la cause première à une fuite de clé privée sur la chaîne source, créant un problème de confiance avec les nœuds OApp que l'attaquant a exploité pour manipuler le pont.

Schwartz a proposé sa propre hypothèse sur ce qui a probablement mal tourné au niveau du protocole. "J'ai le drôle de sentiment qu'une partie du problème viendra du fait que KelpDAO a choisi de ne pas utiliser les fonctionnalités de sécurité clés de LayerZero par commodité", a-t-il écrit.

LayerZero lui-même offre des mécanismes de sécurité robustes, notamment des réseaux de vérification décentralisés. La question que les enquêteurs examinent actuellement est de savoir si Kelp DAO a configuré sa mise en œuvre en utilisant une configuration de sécurité minimale, en particulier un point de défaillance unique avec LayerZero Labs comme seul vérificateur, plutôt que les options plus complexes mais nettement plus sécurisées disponibles.