Mua Crypto
Thanh toán bằng
USD
USD
Mua & Bán
Hot
Hỗ trợ Visa, Mastercard, SEPA...
P2P tiền (P2P)
0 Fees
Giao dịch linh hoạt, không phí
Thẻ Gate
Thanh toán tiền điện tử trên khắp thế giới
Thị trường
Giao dịch
Cơ bản
Nâng cao
Futures
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
TradFi
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Pre-IPOs
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Square
Trung tâm
Khám phá giá trị của tiền điện tử
Live
moments live
Livestream phân tích thịtrường mỗi ngày
Chat
Giao Lưu Với Các Nhà Giao Dịch Khác
Tin nhanh
Tin tức tiền điện tử mớinhất
flower_head
Thêm
Khuyến mãi
AI
Khác
TradFi
WCTC S8
Phần thưởng
Trung tâm
Mới nhất
Hot
Tin nhanh
Hồ sơ

Giám đốc công nghệ Ripple: Lỗ hổng Kelp DAO phản ánh những đánh đổi về bảo mật của cầu nối

CryptoFrontier
robot
Đang tạo bản tóm tắt

David Schwartz, CTO Emeritus tại Ripple, đã xác định một mẫu hình trong các lỗ hổng bảo mật của cầu nối sau khi cầu rsETH của Kelp DAO bị khai thác với khoảng $292 triệu. Trong quá trình đánh giá các hệ thống chuyển tiếp DeFi cho việc sử dụng RLUSD, Schwartz nhận thấy rằng các nhà cung cấp cầu nối luôn hạ thấp mức ưu tiên cho các cơ chế bảo mật mạnh nhất của họ để đổi lấy sự tiện lợi; ông tin rằng mẫu hình này có thể đã góp phần vào sự cố tại Kelp DAO.

Lời Chào Bán Các Tính Năng Bảo Mật

Trong phần phân tích được ông chia sẻ trên X, Schwartz mô tả cách các nhà cung cấp cầu nối đã giới thiệu các tính năng bảo mật nâng cao một cách nổi bật, rồi ngay lập tức đề xuất rằng các tính năng đó là tùy chọn. “Về cơ bản, họ đã khuyến nghị rằng không nên sử dụng các cơ chế bảo mật quan trọng nhất vì chúng có chi phí về sự tiện lợi và độ phức tạp trong vận hành,” ông viết.

Schwartz nhận xét rằng trong các cuộc thảo luận đánh giá RLUSD, các nhà cung cấp nhấn mạnh sự đơn giản và khả năng thêm nhiều chuỗi “với giả định ngầm rằng chúng tôi sẽ không bận tâm sử dụng các tính năng bảo mật tốt nhất mà họ có.” Ông tóm tắt sự mâu thuẫn: “Chiêu chào bán của họ là họ có các tính năng bảo mật tốt nhất nhưng lại dễ dùng và có thể mở rộng, với điều kiện là bạn không sử dụng các tính năng bảo mật.”

Điều Gì Đã Xảy Ra Với Kelp DAO

Vào ngày 19 tháng 4, Kelp DAO đã xác định hoạt động xuyên chuỗi đáng ngờ liên quan đến rsETH và tạm dừng các hợp đồng trên toàn bộ mainnet và nhiều mạng Layer 2. Khoảng 116.500 rsETH đã bị rút cạn thông qua các lệnh gọi hợp đồng liên quan đến LayerZero, trị giá vào khoảng $292 triệu theo giá hiện tại.

Phân tích on-chain từ D2 Finance truy ra nguyên nhân gốc rễ là rò rỉ khóa cá nhân trên chuỗi nguồn, từ đó tạo ra vấn đề về niềm tin với các nút OApp mà kẻ tấn công đã khai thác để thao túng cầu.

Cấu Hình Bảo Mật LayerZero

Bản thân LayerZero cung cấp các cơ chế bảo mật vững chắc, bao gồm các mạng xác minh phi tập trung. Schwartz giả thuyết rằng một phần của vấn đề có thể bắt nguồn từ việc Kelp DAO lựa chọn không sử dụng các tính năng bảo mật quan trọng cốt lõi của LayerZero “vì sự tiện lợi”.

Các nhà điều tra đang xem xét liệu Kelp DAO có cấu hình việc triển khai LayerZero của mình theo một thiết lập bảo mật tối thiểu—cụ thể là một điểm lỗi duy nhất với LayerZero Labs làm bên xác minh duy nhất—thay vì sử dụng các tùy chọn phức tạp hơn nhưng đáng kể là an toàn hơn sẵn có thông qua giao thức.

ZRO0,41%
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
  • Phần thưởng
  • 8
  • 14
  • Retweed
Bình luận
Thêm một bình luận
Thêm một bình luận
LateBlockLarry
· 04-22 07:38
Cơ sở hạ tầng như cầu đường một khi xem an toàn là tùy chọn, sau đó sẽ là hiện trường tai nạn tiêu tốn tiền theo từng giây. Khi tiện lợi và an toàn phải chọn một trong hai, phía dự án luôn nên chọn phía an toàn hơn.
Xem bản gốcTrả lời0
Glass-HeartMarketMaker
· 04-21 13:12
Rò rỉ khóa riêng + Để "dễ sử dụng" đã đơn giản hóa các tùy chọn bảo mật, LayerZero dù mạnh mẽ đến đâu cũng không thể chống đỡ được kiểu cấu hình này, rủi ro của cầu nối thường bị con người phóng đại.
Xem bản gốcTrả lời0
FoldedCosmosCat
· 04-20 04:06
292M Khoản phí này quá đắt…
Xem bản gốcTrả lời0
0xNap
· 04-20 03:36
Xác suất LayerZero bị đổ lỗi lại tăng lên, thực ra nguyên nhân chính vẫn là quản lý khóa + cấu hình an ninh quá đơn giản hóa. Đừng xem cấu hình mặc định là cấu hình an toàn.
Xem bản gốcTrả lời0
SummerNightColdWallet
· 04-20 03:28
Hy vọng lần này có thể thúc đẩy sự thống nhất trong ngành về một số tiêu chuẩn an toàn tối thiểu của các cầu nối: đa chữ ký/ngưỡng, cách ly phần cứng, phê duyệt phân quyền, cơ chế hoàn trả/lập lại tạm dừng, nếu không thì Kelp tiếp theo chỉ là vấn đề thời gian.
Xem bản gốcTrả lời0
ColdBrewSparklingWater
· 04-20 03:25
说白了还是图省事出大事。
Trả lời0
OnchainComplainer
· 04-20 03:16
Tính năng an toàn bị "tối ưu hóa bỏ" ngay khoảnh khắc đó đã chôn vùi mìn.
Xem bản gốcTrả lời0
MevStreetPhotographer
· 04-20 03:16
Tôi nhớ một câu nói: Cầu nối chuỗi chéo không phải là vấn đề mã nguồn, mà là vấn đề an toàn vận hành. Quản lý khóa riêng, phân quyền, ký số theo ngưỡng, cảnh báo kiểm toán, những điều này quan trọng hơn rất nhiều so với "triển khai nhanh".
Xem bản gốcTrả lời0

  • Ghim

sơ đồ trang web