新聞 
幣種資訊 
關於我們 
根據 Cointelegraph 的報導,於 13 日(當地時間),「瑞波幣(XRP)」開發公司「瑞波(Ripple)」的名譽首席技術長「大衛.史華茲(David Schwartz)」針對「去中心化金融(DeFi)」領域再度爆發的「跨鏈橋(Bridge)」資安爭議發聲。他指出,在「Kelp DAO」旗下 rsETH 跨鏈橋遭駭事件中,業界長期「鼓勵放棄關鍵安全機制、優先追求操作便利」的慣例,很可能是本次重大事故的核心問題之一。「詞:DeFi」「詞:跨鏈橋」「詞:rsETH」「詞:Kelp DAO」「詞:瑞波幣(XRP)」
根據報導,大衛.史華茲表示,他在評估 RLUSD 相關應用時,檢視了多個跨鏈橋系統的架構設計,發現不少協議其實內建了強化防護的安全選項,卻在實際部署階段,因「使用門檻較高、操作較複雜」,而被團隊或服務商刻意弱化,甚至不建議客戶啟用。他透露,自己多次聽到類似的說法,例如「大多數用戶無法接受這麼複雜的安全機制,因此實務上不會啟用」,形成安全性遭到系統性犧牲的產業現象。
「評論:史華茲的說法點出一個尷尬現實——不少跨鏈基礎設施在白皮書裡非常安全,但真正上線時,往往為了 UX 與整合成本而把安全層層剝除,只留下最薄弱的版本。」
根據鏈上資料分析機構 D2 Finance 統計,Kelp DAO 在 4 月 19 日發現 rsETH 相關資產於多條鏈之間出現異常跨鏈轉移後,隨即緊急暫停主網及多個第二層(Layer2)網路合約的運作。調查顯示,攻擊者透過與 LayerZero 相關的合約呼叫,疑似非法轉出約 11 萬 6500 枚 rsETH,以當前市價估算,損失金額約達 2 億 9200 萬美元,成為近期規模最龐大的跨鏈橋攻擊之一。
「詞:LayerZero」「詞:跨鏈攻擊」
D2 Finance 分析指出,本次事件關鍵在於跨鏈橋的「結構性弱點」。跨鏈橋的本質,是在兩條或多條不同區塊鏈之間建立資產與狀態的「信任通道」。然而,一旦源頭鏈(Source Chain)的「私鑰」或驗證憑證遭到竊取,就可能破壞整個信任架構,使攻擊者得以偽造訊息、操縱跨鏈橋的資產流動。D2 Finance 推測,本案可能就是由於來源鏈的關鍵私鑰外洩,導致駭客得以「扮演合法驗證者」,進而竊走大筆 rsETH。
「評論:這類攻擊並非單點 Bug,而是整個信任模型在設計上給了私鑰『過大權限』,一旦失守就無從補救。」
大衛.史華茲同時點名 Kelp DAO 在技術選型上,可能出於「操作便利與整合成本」考量,並未充分啟用 LayerZero 提供的某些核心安全選項。按照官方設計,LayerZero 原本可以透過「分散式驗證網路」等多重驗證機制,來提高跨鏈消息的可信度,降低單點失效風險。但若實際部署時採取「單一驗證者」或極簡配置,就等於把原先可以分散的風險重新集中,使跨鏈橋更容易在遭遇私鑰洩漏或內部管理不善時出現災難性後果。
「詞:分散式驗證」「詞:單一驗證者」
從時間點與事件脈絡來看,Kelp DAO 事故再次凸顯 DeFi 生態在「擴張速度」與「安全標準」之間的失衡。為了迅速連接更多公鏈與第二層網路、搶占跨鏈流動性市場,不少專案選擇優先完成多鏈擴張,再將安全強化與架構升級「留待之後」。然而,一旦跨鏈橋成為整個協議的資產中樞,任何一個環節過度依賴單一驗證者、單一私鑰或中心化營運實體,就可能讓駭客有機可乘。
「評論:跨鏈橋愈來愈像整個 DeFi 的『系統性風險來源』,一旦出事,就不僅是單一協議,而是整條流動性路徑都被拖下水。」
綜合目前資訊,本次 rsETH 事件並非首例,也不太可能是最後一次。隨著跨鏈橋市場持續成長、更多資產與衍生品依賴跨鏈通道流轉,「安全與便利如何取捨」將成為協議設計時無法迴避的核心議題。對於協議團隊與機構投資人而言,是否願意承擔因「省略高安全配置」帶來的潛在黑天鵝風險,將直接影響其長期信譽與資金安全。
「詞:跨鏈安全」「詞:橋接風險」「詞:DeFi 安全」
「評論:從產業角度來看,真正的關鍵在於——市場願不願意為安全付費。如果使用者與資本只追求流動性與收益指標,而忽視底層安全設計,類似的跨鏈橋災難恐怕只會一再重演。」
留言 0