リップルCTO、RLUSDの評価でKelp DAOから2億9,200万ドルを流出させたのと同じリスクが明らかになったと発言

今週、Kelp DAO rsETH ブリッジが約 2 億 9,200 万ドルで悪用されたことを受け、リップル社名誉 CTO のデイビッド・シュワルツ氏は鋭い指摘をしました。

彼はこうなるのを予見していた。この特定の攻撃ではなく、それを可能にした条件。

「私はRLUSDで使用するために多くのDeFiブリッジシステムを評価しました」とシュワルツ氏はXで書いた。「私はセキュリティとリスクの側面にほぼ専ら焦点を当てていました。私が気づいたことの1つは、ほとんどのスキームが非常にうまく設計されており、KelpDAOの状況が引き起こされたと思われるタイプの攻撃から正確に保護するために利用できる非常に強力なメカニズムを備えていたということです。」

セキュリティ機能を無視したセールストーク

シュワルツ氏が説明したのは、評価プロセス中に繰り返し遭遇したパターンです。ブリッジ プロバイダーは、自社の最先端のセキュリティ機能を目立つように宣伝し、その後すぐにそれらの機能はオプションであり、ほとんどの顧客はそれらを使用しないことを選択していると示唆します。

「彼らは概して、利便性と運用の複雑さのコストを理由に、最も重要なセキュリティメカニズムをわざわざ使用しないことを事実上推奨している」と同氏は書いている。 「私たちは、チェーンの追加が簡単で簡単であることを頻繁に売り込みましたが、暗黙の前提として、チェーンが備えている最高のセキュリティ機能をわざわざ使用する必要はないと考えられていました。」

「彼らのセールストークは、最高のセキュリティ機能を備えているが、セキュリティ機能を使用しないと仮定すると、使いやすく拡張も簡単だというものでした」と同氏は述べた。

昆布DAOに実際に何が起こったのか

4 月 19 日、Kelp DAO は rsETH に関わる不審なクロスチェーン アクティビティを特定し、メインネットおよび複数のレイヤー 2 ネットワークにわたる契約を一時停止しました。 LayerZero 関連のコントラクトコールを通じて約 116,500 rsETH が排出され、現在の価格で約 2 億 9,200 万ドルに相当します。

D2 Finance によるオンチェーン分析により、ソース チェーン上の秘密キーの漏洩が根本原因であることが突き止められ、OApp ノードに信頼性の問題が生じ、攻撃者はそれを悪用してブリッジを操作しました。

Schwartz 氏は、プロトコル レベルで何が問題になった可能性があるかについて、独自の仮説を提示しました。 「問題の一部は、KelpDAO が便宜上、LayerZero の主要なセキュリティ機能を使用しないことを選択したようなものになりそうな、面白い気がします」と彼は書いています。

LayerZero 自体は、分散型検証ネットワークを含む堅牢なセキュリティ メカニズムを提供します。調査者が現在調査している問題は、Kelp DAO が、より複雑ではあるが非常に安全な利用可能なオプションではなく、最小限のセキュリティ設定、具体的には LayerZero Labs を唯一の検証者として使用する単一障害点を使用してその実装を構成したかどうかです。