David Schwartz, CTO Emeritus di Ripple, membuat pemerhatian yang tajam minggu ini selepas jambatan Kelp DAO rsETH dieksploitasi sebanyak kira-kira $292 juta.
Dia telah melihat ini akan berlaku. Bukan serangan khusus ini, tetapi keadaan yang menjadikannya mungkin.
"Saya menilai banyak sistem jembatan DeFi untuk digunakan oleh RLUSD," tulis Schwartz di X. "Saya hampir secara eksklusif fokus pada aspek keamanan dan risiko. Satu hal yang saya perhatikan adalah kebanyakan skema dirancang dengan sangat baik dan memiliki mekanisme yang sangat kuat untuk melindungi terhadap jenis serangan yang tampaknya menyebabkan situasi KelpDAO."
Promosi Penjualan yang Menguburkan Ciri-ciri Keselamatan
Apakah yang digambarkan oleh Schwartz adalah pola yang beliau jumpa berulang kali semasa proses penilaian beliau. Penyedia jambatan akan menonjolkan ciri keselamatan paling canggih mereka, kemudian hampir segera mencadangkan bahawa ciri-ciri tersebut adalah pilihan dan kebanyakan pelanggan memilih tidak menggunakannya.
“Mereka biasanya secara kesannya merekomendasikan untuk tidak repot-repot menggunakan mekanisme keselamatan paling penting kerana ia membawa kos keselesaan dan kerumitan operasi,” tulisnya. “Kami sering dipromosikan tentang kesederhanaan dan kemudahan menambah lebih banyak rantai dengan anggapan implisit bahawa kami tidak akan repot-repot menggunakan ciri keselamatan terbaik yang mereka miliki.”
“Pemulaan jualan mereka ialah mereka mempunyai ciri keselamatan terbaik tetapi mudah digunakan dan diskalakan, dengan anggapan anda tidak menggunakan ciri keselamatan,” katanya.
Apa Sebenarnya yang Berlaku kepada Kelp DAO
Pada 19 April, Kelp DAO mengenal pasti aktiviti lintas-rangkaian yang mencurigakan yang melibatkan rsETH dan menghentikan kontrak di rangkaian utama dan pelbagai rangkaian Layer 2. Sekitar 116.500 rsETH telah ditarik melalui panggilan kontrak yang berkaitan LayerZero, bernilai sekitar $292 juta pada harga semasa.
Analisis di atas rantai dari D2 Finance mengesan punca utama kepada kebocoran kunci peribadi pada rantai sumber, mencipta isu kepercayaan terhadap nod OApp yang dimanfaatkan oleh penyerang untuk memanipulasi jambatan.
Schwartz menawarkan hipotesisnya sendiri mengenai apa yang kemungkinan salah pada aras protokol. “Saya ada perasaan bahagian masalahnya akan menjadi sesuatu seperti KelpDAO memilih untuk tidak menggunakan ciri keselamatan LayerZero utama demi kemudahan,” tulisnya.
LayerZero itu sendiri menawarkan mekanisme keselamatan yang kukuh termasuk rangkaian pengesahan terdesentralisasi. Soal yang sedang dikaji oleh penyiasat ialah sama ada Kelp DAO mengkonfigurasikan pelaksanaannya menggunakan pengaturan keselamatan minimum, khususnya satu titik kegagalan dengan LayerZero Labs sebagai pengesah tunggal, bukan pilihan yang lebih kompleks tetapi jauh lebih selamat yang tersedia.