Дэвид Шварц, CTO Emeritus в Ripple, выявил закономерность в уязвимостях мостовой безопасности после того, как Kelp DAO rsETH bridge был скомпрометирован примерно на $292 миллионов. Во время своей оценки DeFi-систем мостов для использования RLUSD Шварц заметил, что поставщики мостов неизменно отдавали приоритет удобству, а не самым надежным механизмам безопасности, и полагает, что эта закономерность могла способствовать инциденту с Kelp DAO.
The Security Features Sales Pitch
В своем анализе, опубликованном в X, Шварц описал, как поставщики мостов делали акцент на передовых функциях безопасности, а затем сразу же предлагали, что эти функции являются опциональными. «Они в целом фактически рекомендовали не пользоваться самыми важными механизмами безопасности, потому что за это приходится платить удобством и эксплуатационной сложностью», — написал он.
Шварц отметил, что в ходе обсуждений оценки RLUSD поставщики подчеркивали простоту и легкость добавления нескольких цепочек «при неявном предположении, что мы не будем пользоваться их лучшими функциями безопасности». Он подвел итог этому противоречию: «Их торговая подача заключалась в том, что у них лучшие функции безопасности, но они просты в использовании и масштабируются — при условии, что вы не используете функции безопасности».
Что произошло с Kelp DAO
19 апреля Kelp DAO обнаружила подозрительную кроссчейн-активность с участием rsETH и приостановила контракты в основной сети и в нескольких сетях уровня 2. Примерно 116,500 rsETH было выведено через вызовы контрактов, связанных с LayerZero, что составляет около $292 миллионов по текущим ценам.
Ончейн-анализ от D2 Finance установил первопричину как утечку приватного ключа в исходной цепочке, что создало проблему доверия с узлами OApp, которую злоумышленник использовал для манипулирования мостом.
LayerZero Security Configuration
Сам LayerZero предлагает надежные механизмы безопасности, включая децентрализованные сети верификации. Шварц предположил, что часть проблемы может быть связана с тем, что Kelp DAO выбрала не использовать ключевые функции безопасности LayerZero «из-за удобства».
Следователи выясняют, настроила ли Kelp DAO свою реализацию LayerZero с использованием минимальной схемы безопасности — в частности, с единой точкой отказа, где LayerZero Labs является единственным верификатором, — вместо применения более сложных, но существенно более безопасных вариантов, доступных через протокол.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
KelpDAO теряет $290M во время атаки Lazarus на LayerZero в группе LayerZero
KelpDAO понес убыток в $290 миллионов из-за сложной атаки на безопасность, связанной с Lazarus Group. Атака использовала уязвимости в конфигурации их системы верификации и подчеркнула риски, связанные с опорой на одноточечную схему верификации. Эксперты отрасли подчеркивают необходимость улучшения настроек безопасности и многоуровневой верификации, чтобы предотвратить будущие инциденты.
CryptoFrontier15м назад
LayerZero отвечает на событие на 292 млн у Kelp DAO: речь о том, что Kelp использовала собственную конфигурацию 1-of-1 DVN, а хакер — северокорейская группировка Lazarus
LayerZero выпустила заявление в связи с хакерским инцидентом на сумму 292 млн долларов, связанным с Kelp DAO, обвинив в том, что собственная настройка Kelp 1-of-1 DVN по выбору сделала инцидент возможным; атака была проведена северокорейской группировкой Lazarus. LayerZero подчеркнула, что этот инцидент стал следствием решений по конфигурации, и что она больше не будет поддерживать подобные уязвимые настройки. Кроме того, вопрос о том, кто несет ответственность, по-прежнему вызывает споры, и компенсационное решение не было предоставлено.
ChainNewsAbmedia23м назад
Хакеры DeFi в апреле украли 600 млн долларов; Kelp DAO и Drift составляют 95% ежемесячных потерь
В течение всего лишь 20 дней в апреле 2026 года криптопротоколы из‑за хакерских атак понесли убытки более 606 миллионов долларов, став самым масштабным месячным убытком с момента инцидента с утечкой данных на 1,4 миллиарда долларов со стороны криптобиржи в феврале 2025 года. Две атаки — KelpDAO и Drift Protocol — в сумме составили 95% потерь за апрель, а также 75% от общего ущерба в размере 771,8 миллиона долларов по состоянию на текущий момент в 2026 году.
MarketWhisper26м назад
Утечка Vercel связана с взломом ИИ-инструмента Context.ai: растет риск для криптофронтендов
Vercel подтвердил утечку данных из-за взлома скомпрометированного ИИ-инструмента, что привело к краже данных сотрудников и клиентов. Инцидент создает риски для экосистемы Web3, а злоумышленник пытается продать украденные данные за $2 миллионов. Vercel решает ситуацию вместе с правоохранительными органами и экспертами по реагированию на инциденты.
GateNews1ч назад
Мост rsETH LayerZero был взломан, несколько протоколов, включая Aave, срочно заморозили средства
Токен ликвидного ре-стейкинга rsETH от Kelp DAO 19 апреля подвергся атаке злоумышленников, использовавших уязвимость в проверке кроссчейн-сообщений, что привело к высвобождению 116 500 rsETH на адрес, контролируемый атакующими. Несколько DeFi-протоколов экстренно заморозили соответствующие функции, чтобы справиться с потенциальными потерями. Официальный представитель LayerZero заявил, что ведется активное устранение уязвимости, и будет опубликован отчет по итогам после инцидента.
MarketWhisper3ч назад
Во Франции в 2025 году зарегистрировали 41 похищение, связанное с криптовалютой, и вторжения в дома
В 2025 году Франция зафиксировала 41 похищение, связанное с криптовалютой, на фоне роста «атак гаечным ключом», что привело к усилению мер безопасности вокруг мероприятий, связанных с блокчейном. Глобальные инциденты с принуждением выросли на 75%, при этом Франция лидировала по числу случаев. Проводятся усилия по повышению безопасности и решению опасений, что страна может стать криптовалютным хабом.
GateNews3ч назад
