Auf Einen Blick
- David Schwartz, CTO Emeritus von Ripple, äußert Bedenken zur Sicherheit in DeFi-Brücken.
- Am 19. April wurde Kelp DAO Opfer eines Angriffs, bei dem etwa 292 Millionen Dollar verloren gingen.
- Die Auswertung von Sicherheitsmechanismen offenbarte entscheidende Schwächen in den Implementierungen.
Einblick in die Sicherheitsrisiken
David Schwartz, der CTO Emeritus von Ripple, nahm diese Woche Stellung zu einem kürzlichen Vorfall, der die Kelp DAO betraf. Ein Angriff auf die rsETH-Brücke der DAO führte zu einem Verlust von ungefähr 292 Millionen Dollar. Schwartz bemerkte, dass er zwar nicht diesen speziellen Angriff vorhergesehen hatte, jedoch die Bedingungen, die solche Sicherheitsrisiken begünstigen.
In einer Erklärung auf der Plattform X teilte er mit: „Ich habe viele DeFi-Brückensysteme für die Nutzung von RLUSD bewertet. Mein Hauptaugenmerk lag dabei fast ausschließlich auf den Sicherheits- und Risikoaspekten.“ Während seiner Evaluierung stellte er fest, dass viele Systeme gut gestaltet waren und über starke Mechanismen verfügten, die vor den Arten von Angriffen schützen sollten, wie sie im Kelp DAO-Fall auftraten.
Die Problematik der Sicherheitsfunktionen
Schwartz erkannte ein wiederkehrendes Muster während seines Bewertungsprozesses. Die Anbieter von Brücken präsentierten ihre fortschrittlichen Sicherheitsmerkmale und rieten dann fast sofort, diese nicht zu nutzen, da sie als optional dargestellt wurden. Er berichtete: „In der Regel empfahlen sie, die wichtigsten Sicherheitsmechanismen nicht zu nutzen, da diese mit praktischen Schwierigkeiten und Kosten verbunden seien.“
„Ihr Verkaufsargument war, dass sie die besten Sicherheitsmerkmale anbieten und dennoch einfach zu nutzen und zu skalieren sind, vorausgesetzt, man nutzt nicht die Sicherheitsfunktionen“, fügte er hinzu.
Details zum Vorfall bei Kelp DAO
Am 19. April 2023 stellte Kelp DAO verdächtige Aktivitäten im Zusammenhang mit rsETH fest und pausierte daraufhin Verträge im Hauptnetz sowie in mehreren Layer-2-Netzwerken. Dabei wurden rund 116.500 rsETH durch sogenannte LayerZero-Vertragsaufrufe abgezogen, was aktuell etwa 292 Millionen Dollar wert war.
Analysen von D2 Finance zeigten, dass die Ursache für den Vorfall ein Schlüsselverlust auf der Quellkette war, der das Vertrauen in die OApp-Knoten, welche der Angreifer ausnutzte, erschütterte. Schwartz äußerte zudem seine Vermutung, dass ein Teil des Problems möglicherweise darin lag, dass Kelp DAO aus praktischen Gründen entscheidende Sicherheitsmerkmale von LayerZero nicht nutzte.
LayerZero selbst bietet robuste Sicherheitsmechanismen, darunter dezentrale Verifikationsnetzwerke. Die zentrale Frage, die jetzt von den Ermittlern untersucht wird, lautet, ob Kelp DAO seine Implementierung mit einem minimalen Sicherheitsniveau konfiguriert hat, speziell mit einem einzigen Fehlerpunkt, bei dem LayerZero Labs der alleinige Verifier war, anstatt die komplexeren, aber deutlich sichereren Optionen zu nutzen.
Fazit
Der Vorfall bei Kelp DAO unterstreicht die dringende Notwendigkeit, Sicherheitsaspekte im DeFi-Bereich ernst zu nehmen. Die Enthüllungen von Schwartz werfen ein Licht auf die Anfälligkeit von Brückensystemen und die Herausforderungen, die mit der Implementierung robuster Sicherheitsprotokolle verbunden sind. Die Entwicklungen rund um diesen Vorfall könnten weitreichende Konsequenzen für die Nutzung von DeFi-Plattformen haben.
🔵 Erfahren Sie jetzt alles zu Ripple-XRP – weitere Informationen finden Sie hier! 🔵
