Chainaanalysis 标记 DeFi 安全中的关键盲点，价值 2.92 亿美元的漏洞绕过了销毁验证

价值 2.92 亿美元的 DeFi 漏洞加剧了人们对跨链系统中隐藏漏洞的担忧。该事件凸显了有缺陷的信任假设如何允许操纵输入绕过保障措施并触发未被发现的大规模资产发行。

要点：

Chainaanalysis 标记了 KelpDAO 漏洞，暴露了跨链信任假设中的严重失败。

分析显示，Layerzero 的设计缺陷可以让单个验证器绕过 DeFi 保护措施。

由于 Chainaanalysis 表明隐藏的故障可能会逃避检测，协议面临着不断升级的风险。

跨链桥缺陷暴露 DeFi 安全风险

区块链分析公司 Chainaanalysis 于 4 月 20 日重点介绍了价值 2.92 亿美元的去中心化金融 (DeFi) 漏洞，暴露了跨链桥设计的关键弱点。涉及 KelpDAO 的 rsETH 基础设施的事件展示了操纵输入如何绕过验证系统。该案例表明人们对多链协议中嵌入的信任假设日益担忧。

Chainaanalysis 在社交媒体平台 X 上表示：

“价值约 2.92 亿美元的 KelpDAO / rsETH 桥接漏洞凸显了 DeFi 安全中的一个关键盲点。”

该公司解释说，此次违规行为源于有缺陷的信任层，而不是有缺陷的智能合约。攻击者利用支持 KelpDAO 的 LayerZero 基础设施，利用 1-of-1 验证器仲裁。该配置依赖于有限的远程过程调用端点，从而产生了单点故障。一旦受到损害，该途径就会在没有更广泛共识的情况下实现未经授权的批准。分析提供商描述了系统如何将受操纵的条件视为有效，从而允许漏洞利用不被标准防护措施检测到。

不变的故障凸显了实时监控的必要性

攻击者通过破坏 RPC 端点来渗透验证器的数据输入。虚假信息导致系统在源链上注册了捏造的销毁事件。

“基于这种虚假状态，桥接器批准了该消息，并向攻击者释放了以太坊上的 116,500 rsETH。实际上，没有发生相应的销毁。标准安全性完全错过了这一点，因为交易完全按照代码级别的设计执行，”Chainaanalysis 解释道。这个序列打破了一个核心桥不变量，要求烧毁的资产和发行的代币之间保持平价。尽管代码执行正确，但对外部数据完整性的依赖使得漏洞利用得以成功。

Chainaanalysis 最后提出了更广泛的警告，指出：

“这次攻击证明检测恶意代码是不够的；协议必须检测系统何时进入不可能的状态。”

该公司指出需要能够实时验证跨链一致性的持续监控系统。不变跟踪框架等工具可以识别锁定资产和释放资金之间的差异。这些机制可能允许协议在损失升级之前停止操作，从而增强了验证系统范围状态而不是仅仅依赖于代码审计的重要性。