• Chainalysis指出KelpDAO漏洞暴露了跨链信任假设的重大失误。
• 分析显示Layerzero设计缺陷可能让单个验证者绕过DeFi安全保障。
• 随着Chainalysis信号表明隐藏的失误可能无法被发现，协议面临不断升级的风险。

区块链分析公司Chainalysis在4月20日强调了一宗价值2.92亿美元的去中心化金融（DeFi）漏洞，揭示了跨链桥设计中的关键弱点。涉及KelpDAO的rsETH基础设施的事件展示了如何通过操纵输入绕过验证系统。此事件表明了对多链协议中嵌入的信任假设日益增长的担忧。

Chainalysis在社交媒体平台X上表示：

“约2.92亿美元的KelpDAO / rsETH桥漏洞凸显了DeFi安全中的一个关键盲点。”

该公司解释说，这次 breach 源于一个有缺陷的信任层，而非有缺陷的智能合约。攻击者以支持KelpDAO的LayerZero基础设施为目标，利用1个验证者的法定人数。这种配置依赖于有限的远程过程调用端点，造成了单点故障。一旦被攻破，该路径就允许未经授权的批准，而不需要更广泛的共识。分析服务提供商描述了该系统如何接受操纵条件为有效，从而允许漏洞在标准安全保障的监测下继续进行。

攻击者通过破坏RPC端点渗透了验证者的数据输入。虚假信息导致系统在源链上注册一个虚构的燃烧事件。

“基于这种虚假状态，桥接确认了消息，并向攻击者释放了116,500个rsETH在以太坊上。实际上，并没有发生相应的燃烧。标准安全完全错过了这一点，因为交易在代码层面上完全按设计执行。”Chainalysis解释道。这一序列打破了桥接不变性所要求的燃烧资产和发行代币之间的平衡。尽管代码正确执行，但对外部数据完整性的依赖使漏洞得以成功。

Chainalysis最后发出了更广泛的警告，表示：

“这次攻击证明了检测恶意代码是不够的；协议必须检测系统何时进入不可能的状态。”

该公司指出需要具备实时验证跨链一致性的持续监控系统。诸如不变追踪框架等工具可以识别被锁定的资产和释放的资金之间的差异。这些机制可能允许协议在损失加剧之前停止操作，强化了验证系统整体状态的重要性，而不仅仅依赖于代码审计。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。