瑞波首席技術官：Kelp DAO 被利用事件反映了跨鏈橋安全性的取捨

David Schwartz，Ripple 的榮譽首席技術官（CTO Emeritus），在 Kelp DAO rsETH 代幣橋遭到約 $292 百萬規模的利用攻擊之後，辨識出橋接安全漏洞中的一種模式。在他針對 RLUSD 用途評估去中心化金融（DeFi）橋接系統時，Schwartz 觀察到，橋接提供者會一再把其最強大的安全機制降為次要，轉而優先考量便利性；他認為這種模式可能助長了 Kelp DAO 事件。

The Security Features Sales Pitch

在他於 X 上分享的分析中，Schwartz 描述了橋接提供者如何把先進的安全功能放在宣傳重點上，接著又立刻建議這些功能是「可選的」。「他們通常實際上是在建議不要去使用最重要的安全機制，因為那會有便利性以及作業上的複雜度成本，」他寫道。

Schwartz 指出，在進行 RLUSD 評估的討論時，供應商強調「簡單」以及「輕鬆加入多條鏈」時，背後隱含的假設是「我們不會去使用他們所具備的最佳安全功能」。他總結了這種矛盾：「他們的銷售話術是：他們有最好的安全功能，而且用起來容易、能擴展，前提是你不要使用這些安全功能。」

What Happened to Kelp DAO

4 月 19 日，Kelp DAO 識別出涉及 rsETH 的可疑跨鏈活動，並在主網以及多個第二層（Layer 2）網路中暫停合約。約有 116,500 rsETH 透過與 LayerZero 相關的合約呼叫被排出，按目前價格計算約 $292 百萬。

D2 Finance 的鏈上分析將根因追溯到來源鏈上私鑰外洩，這導致與 OApp 節點之間的信任問題；攻擊者正是利用這個問題來操縱該橋。

LayerZero Security Configuration

LayerZero 本身提供強健的安全機制，包括去中心化的驗證網路。Schwartz 推測，問題的一部分可能來自 Kelp DAO 出於「便利」而選擇不使用關鍵的 LayerZero 安全功能。

調查人員正檢視 Kelp DAO 是否使用了最小化的安全設定來部署其 LayerZero 實作——也就是只設有單一故障點，並以 LayerZero Labs 作為唯一驗證者——而不是使用協議所提供、雖然更複雜但安全性顯著更高的選項。