ديفيد شوارتز، كبير مسؤولي التكنولوجيا السابق (CTO Emeritus) في Ripple، حدد نمطًا في ثغرات أمان الجسور بعد استغلال جسر Kelp DAO rsETH لحوالي $292 مليون. أثناء تقييمه لأنظمة الربط (bridging) في التمويل اللامركزي (DeFi) لاستخدام RLUSD، لاحظ شوارتز أن مزودي الجسور كانوا يهمشون باستمرار أقوى آليات الأمان لديهم لصالح الراحة، وهو نمط يعتقد أنه قد يكون قد ساهم في حادثة Kelp DAO.
خطاب المبيعات لميزات الأمان
في تحليله الذي شاركه على X، وصف شوارتز كيف قام مزودو الجسور بالترويج لميزات أمان متقدمة بشكل بارز، ثم اقترحوا فورًا أن تلك الميزات اختيارية. “في العادة أوصوا بعدم عناء استخدام أهم آليات الأمان لأنها تأتي مع تكاليف تتعلق بالراحة والتعقيد التشغيلي”، كتب.
أشار شوارتز إلى أنه خلال مناقشات تقييم RLUSD، شدد المزودون على البساطة وسهولة إضافة سلاسل متعددة “مع الافتراض الضمني أننا لن نستخدم أفضل ميزات الأمان التي لديهم”. لخّص التناقض: “كان خطابهم التسويقي أن لديهم أفضل ميزات الأمان لكنها سهلة الاستخدام وقابلة للتوسع، بشرط ألا تستخدم ميزات الأمان.”
ماذا حدث لـ Kelp DAO
في 19 أبريل، حددت Kelp DAO نشاطًا عبر السلاسل (cross-chain) مريبًا يشمل rsETH وأوقفت العقود عبر الشبكة الرئيسية وشبكات الطبقة الثانية المتعددة. تم سحب حوالي 116,500 rsETH عبر استدعاءات عقود مرتبطة بـ LayerZero، بقيمة تقارب $292 مليون بالأسعار الحالية.
وفقًا لتحليل على السلسلة من D2 Finance، تعود الجذور إلى تسرب مفتاح خاص على السلسلة المصدر، ما أدى إلى مشكلة ثقة مع عقد OApp التي استغلها المهاجم للتلاعب بالجسر.
إعدادات أمان LayerZero
يوفر LayerZero نفسه آليات أمان قوية، بما في ذلك شبكات تحقق لامركزية. تخيل شوارتز أن جزءًا من المشكلة قد ينشأ عن اختيار Kelp DAO عدم استخدام ميزات أمان LayerZero الأساسية “من باب الراحة”.
يبحث المحققون فيما إذا كانت Kelp DAO قد قامت بتكوين تنفيذ LayerZero الخاص بها باستخدام إعداد أمان أدنى—بالتحديد، نقطة فشل واحدة مع LayerZero Labs كمُحقق وحيد—بدلًا من الاستفادة من الخيارات الأكثر تعقيدًا لكنها أكثر أمانًا بكثير المتاحة عبر البروتوكول.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
كريبتكوينت: انفجار ثغرة KelpDAO، أخطر أزمة منذ عام 2024، انخفاض TVL الخاص بـ Aave بنسبة 33%
وفقًا لتقييم CryptoQuant في 23 أبريل، فإن هجوم استغلال ثغرة KelpDAO الذي وقع خلال الأسبوع الماضي قد أدى خلال 72 ساعة إلى تعريض Aave لخطر تعثر محتمل بقيمة تتراوح بين 124 مليون و230 مليون دولار، كما شهد إجمالي القيمة المقفلة (TVL) هبوطًا حادًا بنسبة 33%، وارتفعت فائدة الاقتراض على USDT وUSDC من 3.4% إلى 14%، كما ارتفعت فائدة اقتراض ETH إلى أعلى مستوى لها منذ يناير 2024 عند 8%.
MarketWhisperمنذ 23 د
朝鲜拉撒路关联的HexagonalRodent以社交工程攻击锁定Web3开发者
Gate News消息,4月24日——慢雾(Slow Mist)的安全研究人员发出警报称,HexagonalRodent——一个隶属于朝鲜“拉撒路”(Lazarus)组织的攻击团伙——正通过社交工程手段瞄准Web3开发者,包括伪造高薪远程职位以及
GateNewsمنذ 40 د
CoW DAO 提议设立酌情资助计划以补偿域名劫持受害者
Gate 新闻消息,4月24日——CoW DAO 已提议设立一项酌情资助计划,用于补偿因 4月14日 cow.fi 域名劫持事件而遭受损失的用户。该计划将通过从法律辩护储备基金一次性划拨,对符合条件的受害者提供最高 100% 的损失补偿
GateNewsمنذ 44 د
Bitwarden CLI 遭供应链攻击,恶意包分发持续 1.5 小时
Gate News 消息,4 月 24 日——据 SlowMist 首席信息安全官 23pds 称,Bitwarden CLI 版本 2026.4.0 于 4 月 24 日 17:57 至 19:30(美东时间)期间遭到供应链攻击而被篡改。攻击者利用 Bitwarden 的 CI/CD 流水线中的 GitHub Actions 注入了一个恶意包,该恶意包被短暂地分发了“
GateNewsمنذ 51 د
美国财政部以打击瞄准美国人的加密诈骗网络为由制裁柬埔寨参议员 Kok An
Gate News 消息,4 月 24 日——美国财政部外国资产控制办公室 (OFAC) 已对柬埔寨参议员 Kok An 实施制裁。据称,他在全国范围内控制诈骗园区,并且与他的网络有关的另外 28 名个人和实体也一并被点名。此举针对的是 OFAC 所称
GateNewsمنذ 1 س
