Cryptonews

Технический директор Ripple заявил, что оценка RLUSD выявила тот же риск, который лишил Kelp DAO $292 млн.

Источник
cryptonewstrend.com
Опубликовано
Технический директор Ripple заявил, что оценка RLUSD выявила тот же риск, который лишил Kelp DAO $292 млн.

Дэвид Шварц, почетный технический директор Ripple, на этой неделе сделал резкое наблюдение после того, как мост Kelp DAO rsETH был использован примерно за 292 миллиона долларов.

Он предвидел это. Не эта конкретная атака, а условия, которые сделали ее возможной.

«Я оценивал множество мостовых систем DeFi для использования RLUSD», — написал Шварц на X. «Я был почти полностью сосредоточен на аспектах безопасности и риска. Одна вещь, которую я заметил, это то, что большинство схем были очень хорошо спроектированы и имели действительно надежные механизмы для защиты именно от того типа атаки, которым, по-видимому, была вызвана ситуация с KelpDAO».

Коммерческое предложение, которое похоронило функции безопасности

То, что описал Шварц, — это закономерность, с которой он неоднократно сталкивался в процессе оценки. Поставщики мостов выдвигали на видное место свои самые продвинутые функции безопасности, а затем почти сразу предлагали, чтобы эти функции были необязательными и что большинство клиентов предпочитали их не использовать.

«Они, по сути, рекомендовали не использовать наиболее важные механизмы безопасности, поскольку они сопряжены с удобством и сложностью эксплуатации», — написал он. «Нам часто говорили о простоте и легкости добавления новых цепочек, подразумевая, что мы не будем использовать лучшие функции безопасности, которые у них есть».

«Их рекламный ход заключался в том, что они обладают лучшими функциями безопасности, но при этом их легко использовать и масштабировать, при условии, что вы не используете функции безопасности», — сказал он.

Что на самом деле случилось с Kelp DAO

19 апреля Kelp DAO обнаружила подозрительную межсетевую активность с участием rsETH и приостановила контракты в основной сети и нескольких сетях уровня 2. Приблизительно 116 500 rsETH было потрачено в результате вызовов контрактов, связанных с LayerZero, на сумму около 292 миллионов долларов в текущих ценах.

Анализ цепочки, проведенный D2 Finance, выявил основную причину в утечке закрытого ключа в исходной цепочке, что создало проблему доверия с узлами OApp, которую злоумышленник использовал для манипулирования мостом.

Шварц предложил свою собственную гипотезу о том, что, вероятно, пошло не так на уровне протокола. «У меня странное ощущение, что частью проблемы будет что-то вроде того, что KelpDAO решит не использовать ключевые функции безопасности LayerZero из соображений удобства», — написал он.

LayerZero сам по себе предлагает надежные механизмы безопасности, включая децентрализованные сети проверки. Вопрос, который сейчас изучают следователи, заключается в том, настроил ли Kelp DAO свою реализацию с использованием минимальной настройки безопасности, в частности, с единой точкой отказа с LayerZero Labs в качестве единственного проверяющего, а не с более сложными, но значительно более безопасными доступными вариантами.