Ripple 首席技术官表示 RLUSD 评估暴露了与 Kelp DAO 流失 2.92 亿美元的相同风险

Ripple 荣誉首席技术官 David Schwartz 本周在 Kelp DAO rsETH 桥被利用价值约 2.92 亿美元后发表了尖锐的观察。

他已经预见到了这一点。不是这次特定的攻击，而是使之成为可能的条件。

“我评估了 RLUSD 使用的许多 DeFi 桥接系统，”Schwartz 在 X 上写道。“我几乎完全专注于安全和风险方面。我注意到的一件事是，大多数方案都设计得非常好，并且拥有非常强大的机制，可以防止 KelpDAO 情况似乎引起的攻击类型。”

掩盖安全功能的推销宣传

施瓦茨所描述的是他在评估过程中反复遇到的一种模式。网桥提供商会突出展示他们最先进的安全功能，然后几乎立即表明这些功能是可选的，大多数客户选择不使用它们。

“他们实际上建议不要费心使用最重要的安全机制，因为它们具有便利性和操作复杂性成本，”他写道。 “我们经常被告知添加更多链条的简单性和易用性，隐含的假设是我们不会费心使用他们拥有的最好的安全功能。”

“他们的宣传是，他们拥有最好的安全功能，但如果你不使用这些安全功能，它们也很容易使用和扩展，”他说。

Kelp DAO 到底发生了什么

4 月 19 日，Kelp DAO 发现了涉及 rsETH 的可疑跨链活动，并暂停了跨主网和多个第 2 层网络的合约。大约 116,500 rsETH 通过 LayerZero 相关合约调用被耗尽，按当前价格计算价值约为 2.92 亿美元。

D2 Finance 的链上分析追踪到根本原因是源链上的私钥泄漏，造成了 OApp 节点的信任问题，攻击者利用该问题来操纵网桥。

施瓦茨针对协议层面可能出现的问题提出了自己的假设。他写道：“我有一种奇怪的感觉，问题的一部分可能是 KelpDAO 出于方便而选择不使用关键的 LayerZero 安全功能。”

LayerZero 本身提供了强大的安全机制，包括去中心化验证网络。调查人员现在正在检查的问题是 Kelp DAO 是否使用最低限度的安全设置来配置其实现，特别是使用 LayerZero Labs 作为唯一验证者的单点故障，而不是更复杂但更安全的可用选项。