Ripple의 명예 CTO인 David Schwartz는 Kelp DAO 생태계가 2억 9천만 달러에 달하는 치명적인 공격으로 인해 탈중앙화 금융(De Fi) 브리징 부문에 대해 또 다른 소름끼치는 경고를 했습니다.
암호화폐 베테랑은 Ripple의 곧 출시될 RLUSD 스테이블 코인에 대한 크로스체인 시스템을 평가하여 업계가 강력한 보안 기능보다 편의성과 빠른 확장을 우선시하는 위험한 문화로 인해 어려움을 겪고 있다고 결론지었습니다.
저는 RLUSD에서 사용할 탈중앙화 금융 브리징 시스템을 많이 평가했습니다. 저는 거의 전적으로 보안과 위험 측면에만 집중했습니다. 내가 주목한 한 가지는 대부분의 체계가 매우 잘 설계되었으며 정확히 공격 유형으로부터 보호할 수 있는 강력한 메커니즘을 갖추고 있다는 것입니다.
Schwartz는 대부분의 브리징 시스템이 실제로 Kelp DAO를 공격한 정확한 유형의 공격을 방지하도록 잘 설계되었다는 사실을 발견했습니다.
그러나 리플 수의사가 지적했듯이 브리지 제공업체는 관련된 "운영 복잡성 비용"으로 인해 자체적으로 가장 강력한 보안 메커니즘을 우회하는 것을 자주 권장했습니다.
Schwartz는 "그들의 판매 전략은 최고의 보안 기능을 갖추고 있지만 보안 기능을 사용하지 않는다는 가정 하에 사용 및 확장이 쉽다는 것입니다"라고 말했습니다.
새로운 블록체인 네트워크를 추가하는 데 있어 단순성과 속도를 추구하는 것은 운영자가 강력한 보안 프로토콜을 무시할 것이라는 기대와 함께 이루어졌습니다.
주말 동안 공격자는 이더리움 및 Arbitrum 네트워크를 통해 Kelp DAO 생태계에서 약 116, 500 rsETH(약 2억 9천만 달러)를 빼돌렸습니다.
U. Today가 보고한 바와 같이 이번 해킹은 소스 체인의 심각한 개인 키 손상으로 인한 버그로 인해 발생했습니다. 공격자는 합법적으로 배포된 Kelp DAO 피어 계약을 탈취하여 몇 분 만에 대규모 인출을 시작할 수 있었습니다. 공격자의 초기 지갑은 암호화폐 혼합 서비스인 Tornado Cash를 통해 자금을 조달했습니다.
Schwartz는 이 수백만 달러 규모의 재난은 예방이 매우 가능합니다고 주장했습니다. "저는 KelpDAO가 편의상 핵심 레이어 제로 보안 기능을 사용하지 않기로 결정한 것과 같은 문제가 될 것이라는 재미있는 느낌을 받았습니다"라고 그는 말했습니다.
원문 제목: Ripple Veteran Slams DeFi Bridge Security
David Schwartz, Ripple's CTO Emeritus, has arather chilling warningfor the decentralized finance (DeFi) bridging sector after a catastrophic $290 million exploit drained the Kelp DAO ecosystem.
The cryptocurrency veteran has assessed cross-chain systems for Ripple's upcoming RLUSD stablecoin, concluding that the industry suffers from a dangerous culture of prioritizing convenience and rapid scaling over robust security features.
I evaluated a lot of DeFi bridging systems for use by RLUSD.
I was almost exclusively focused on the security and risk aspect.
One thing I noticed is that most schemes were very well designed and had really strong mechanisms available to protect against exactly the type of attack….
Schwartz has found that most bridging systems were actually well-designed to prevent the exact type of attack that struck Kelp DAO.
However, as the Ripple vet noted, bridge providers frequently recommended bypassing their own strongest security mechanisms due to the "operational complexity costs" involved.
"Their sales pitch was that they have the best security features, but they're easy to use and scale, assuming you don't use the security features," Schwartz stated.
The push for simplicity and speed in adding new blockchain networks came with the expectation that operators would simply ignore robust security protocols.
Over the weekend, an attacker managed to siphon approximately 116,500 rsETH (roughly $290 million) from the Kelp DAO ecosystem across the Ethereum and Arbitrum networks.
Asreported by U.
Today, the hack was due to a bug caused by a severe private key compromise on the source chain.
The attacker hijacked a legitimately deployed Kelp DAO peer contract, which made it possible for them to initiate a massive withdrawal in a matter of minutes.
The exploiter's initial wallets were funded via the cryptocurrency mixing service Tornado Cash.
Schwartz has argued that this multi-million dollar disaster was highly preventable.
"I have a funny feeling part of the problem is going to be something like KelpDAO choosing not to use key LayerZero security features out of convenience," he noted.
