摘要:Ripple首席技术官David Schwartz警告,当前多数DeFi跨链桥存在结构性缺陷,其安全机制因操作复杂性被默认关闭,成为2026年KelpDAO巨额被盗事件的根源。行业亟需重审增长与安全的优先级平衡。
币圈界报道:
跨链桥架构漏洞暴露:安全机制被弃用成行业通病
Ripple首席技术官David Schwartz近期对去中心化金融领域发出重要预警,指出广泛部署的跨链桥系统普遍隐藏着深层设计缺陷,这些缺陷正是导致2026年最大规模加密资产盗窃案之一——KelpDAO rsETH桥遭劫持的核心原因。他在公开平台分享了对多个主流DeFi基础设施的安全评估结果,聚焦于底层协议在实际部署中的防护盲区。
关键安全功能被设为可选,加剧系统脆弱性
此次警示紧随一起价值约2.92亿美元的资产盗取事件,攻击者通过操纵KelpDAO的rsETH跨链桥完成资金转移。据Schwartz分析,尽管多数项目在设计阶段引入了先进防护工具,但本应强制启用的核心安全组件却被配置为非必选项。他指出,这一现象主要源于开发团队对操作复杂度与运维成本的顾虑,从而牺牲了基础防御能力。
扩张文化主导,安全让位于便捷集成
Schwartz特别批评当前行业普遍存在“快速扩展优先”的思维惯性,导致关键安全控制措施被弱化甚至忽略。他强调,许多平台宣传重点集中于低门槛接入和快速部署,却未引导用户主动启用最高级别的保护机制。他坦言:“这等于鼓励用户默认使用最不安全的路径。”
他进一步推测,类似问题可能已在其他生态中潜伏,例如依赖第三方发行方的Solana链封装XRP,其面临与KelpDAO相同的对手方风险。一位XRP验证节点代表表示:“从风险维度看,托管型封装资产远不如原生持有方式具备可信保障。”
监管缺位与攻击链路揭示:洗钱路径清晰可循
初步调查显示,此次针对KelpDAO的攻击由一个疑似朝鲜背景的黑客组织策划。攻击者通过单一交易提取11.65万枚rsETH,占该通证流通总量的近18%。其手法是利用远程过程调用节点污染机制,但影响范围仅限于特定配置,未波及其他跨链资产。
安全团队最早通过通讯平台发现异常行为,随后经多家机构确认。监控数据显示,攻击前10小时内,攻击钱包已通过混币服务完成资金清洗。得手后,资产被转入多个借贷平台获取质押贷款,累计形成超2.36亿美元债务,并借助多层混币手段实现最终洗钱。
Schwartz在事件发生后指出,该攻击精准利用了KelpDAO在安全治理上的滞后。他同时强调,Ripple即将推出的稳定币RLUSD在桥接架构上坚持安全优先原则。业内专家呼吁,在推进跨链互操作性的过程中,必须重新确立安全与效率之间的合理权重关系。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。