リップルの名誉CTOであるデビッド・シュワルツは、Kelp DAOのrsETHブリッジが約$292 百万ドル規模で悪用された後、ブリッジのセキュリティ脆弱性にあるパターンを特定した。RLUSDの利用を想定したDeFiブリッジング・システムの評価の中で、シュワルツはブリッジ提供者が一貫して、最も堅牢なセキュリティ・メカニズムを利便性のために優先度を下げていたことを観察した。彼は、そのパターンがKelp DAOの件に寄与した可能性があると考えている。
セキュリティ機能の売り込み文句
Xで共有した分析の中で、シュワルツはブリッジ提供者が先進的なセキュリティ機能を目立つように売り込んだ後、すぐにそれらの機能が任意であるかのように提案したと説明した。「彼らは一般的に、利便性と運用・管理の複雑さに伴うコストがあるため、最も重要なセキュリティ・メカニズムを使わないことを推奨しているように見える」と彼は書いている。
シュワルツは、RLUSDの評価に関する議論の中で、提供者が複数のチェーンを「簡単に追加できる」ことを強調し、「私たちは彼らが持つ最良のセキュリティ機能を使うつもりはない」という暗黙の前提が置かれていたと述べた。矛盾をこう要約した。「彼らの売り込み文句は、最高のセキュリティ機能があるが、使いやすくてスケールしやすいので、セキュリティ機能を使わないなら話が早い、というものだった。」
Kelp DAOで何が起きたか
4月19日、Kelp DAOはrsETHに関する不審なクロスチェーン活動を特定し、メインネットおよび複数のレイヤー2ネットワークにまたがる契約を一時停止した。約116,500 rsETHが、LayerZero関連のコントラクト呼び出しを通じて流出し、現行価格で約$292 百万ドルに相当する。
D2 Financeによるオンチェーン分析では、根本原因はソースチェーンでのプライベートキー漏えいだと追跡された。これにより、攻撃者がブリッジを操作するために悪用したOAppノードとの間に信頼上の問題が生じた。
LayerZeroのセキュリティ設定
LayerZero自体は分散型の検証ネットワークなど、堅牢なセキュリティ機能を提供している。シュワルツは、問題の一部はKelp DAOが「利便性のために」重要なLayerZeroのセキュリティ機能を使わないことを選んだことに起因している可能性があると推測した。
捜査当局は、Kelp DAOがLayerZeroの実装を、プロトコルで利用可能なより複雑だが大幅により安全な選択肢ではなく、LayerZero Labsを唯一の検証者とする単一障害点の最小限のセキュリティ設定で構成したのかどうかを調べている。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
ラザロス・グループに起因するとされるKelp DAOハック;ソーシャルエンジニアリングでeth.limoドメインが乗っ取られる
LayerZeroは、北朝鮮のラザロス・グループに起因するとされるKelp DAOのエクスプロイトにより、分散型検証者ネットワークの脆弱性のためにrsETHトークンで$292 百万の損失が発生したと報告した。さらにeth.limoは、ソーシャルエンジニアリング攻撃によるドメイン乗っ取りに直面したが、DNSSECが深刻な被害を抑えた。
GateNews1時間前
DeFiハックがAaveからの資金流出で$9 Billionドルを誘発――担保に盗難トークンが使用
最近のハックで暗号資産プロジェクトから$300 百万ドルがほぼ流出し、それによりAaveで流動性危機が発生した。ユーザーは約$9 billionドルを引き出した。担保の品質に対する懸念が大規模な引き出しにつながり、DeFiレンディングに潜むリスクが浮き彫りになった。
GateNews1時間前
イーサリアムのフィッシング攻撃で$585K から4人のユーザーが被害、単独の被害者は$221K WBTCを失う
協調的なイーサリアムのフィッシング攻撃により、4人の被害者から$585,000が流出しました。だましのリンクを通じてユーザーの権限を悪用したのです。この事件は、正当性を装っていても、ソーシャルエンジニアリングによって資金が急速に失われる可能性を示しています。
GateNews3時間前
署名内容にご注意ください!Vercelがサイバー攻撃で身代金200万ドルを要求され、暗号プロトコルのフロントエンドセキュリティに警報が発動
クラウド開発プラットフォームのVercelが4月19日にハッキングを受けました。攻撃者は、従業員が使用していたサードパーティのAIツールを通じてアクセス権限を取得し、200万ドルの身代金を要求しています。機密データはアクセスされていないものの、他のデータが悪用された可能性があります。この件は暗号コミュニティにセキュリティ上の懸念を引き起こしており、Vercelは現在調査を進めており、ユーザーに鍵の変更を推奨しています。
ChainNewsAbmedia4時間前
KelpDAO、Lazarus GroupのLayerZero攻撃で$290M を喪失
KelpDAOは、Lazarus Groupに関連する高度なセキュリティ侵害により$290 百万ドルの損失を被りました。攻撃は、検証システムにおける設定の脆弱性を悪用し、単一ポイントの検証セットアップに依存することのリスクを浮き彫りにしました。業界の専門家は、将来のインシデントを防ぐために、セキュリティ設定の改善と多層の検証の必要性を強調しています。
CryptoFrontier5時間前
LayerZeroはKelp DAOの2.92億件のイベントに回答:Kelpが独自に1-of-1 DVNを設定し、攻撃者は北朝鮮のLazarusだと指摘
LayerZeroはKelp DAOの2.92億ドルが侵害された事件について声明を発表し、Kelpが自ら選んだ1-of-1 DVNの設定が事件を可能にしたとして非難しました。攻撃者は北朝鮮のLazarusグループです。LayerZeroは、この事件は設定の選択に起因するものであり、今後はこの種の脆弱な設定をサポートしないと強調しました。さらに、責任の帰属については依然として議論があり、補償の提案は示されていません。
ChainNewsAbmedia5時間前
