أشارت LayerZero في تقرير أولي إلى أن الهجوم الذي سرق حوالي 292 مليون دولار أمريكي من جسر KelpDAO على عطلة نهاية الأسبوع "من المحتمل جداً" أن يكون من قبل مجموعة Lazarus الكورية الشمالية، وخاصة فريقها الفرعي TraderTraitor. تحليل الاثنين.
في يوم السبت، سرق المهاجمون 116,500 من rsETH (عملة إعادة تمويل سيولة مدعومة بعملة الإيثريوم المُرَهَنة) من جسر KelpDAO، مما أثار موجة سحب على المنصات المختلفة. التمويل اللامركزي أدى هذا الحدث إلى سحب أكثر من 10 مليارات دولار من أموال بروتوكولات القروض عبر إيفي.
أشارت LayerZero إلى أن هذا الهجوم يحمل سمات "كيانات وطنية معقدة للغاية"، وغالبًا ما يكون من مجموعة Lazarus الكورية الشمالية، وتحديدًا فرقة TraderTraitor التابعة لها.
يُزعم أن العمليات الإلكترونية الكورية الشمالية تُدار من قبل إدارة الاستخبارات العامة، التي تضم عدة أقسام مختلفة، بما في ذلك TraderTraitor وAppleJeus وAPT38 وDangerousPassword.تحليل المؤلف: سامتشسون، باحث في Paradigm.
في هذه المنظمات الفرعية، يُعتبر TraderTraitor أكثر الجهات فاعلية في كوريا الشمالية المستهدفة للعملات المشفرة، وكان له سابقًا صلات بـ 轴无限浪人桥 وWazirX.
أشارت LayerZero إلى أن KelpDAO استخدمت مُحققًا واحدًا للموافقة على تدفقات الأموال عبر الجسر، وأضافت أنها حثت KelpDAO مرارًا وتكرارًا على الانتقال إلى استخدام عدة مُحققين.
أعلنت LayerZero أنّها ستتوقف عن الموافقة على أي رسائل تطبيقات لا تزال تعمل بالإعدادات المذكورة.
نقطة فشل واحدة
يقول المراقبون إن هذه الثغرة كشفت كيفية بناء الجسر، مما جعله يثق بمحقق واحد فقط.
يقول شاليف كرين، المؤسس المشارك لشركة الأمان السيبراني Sodot، إنه "خطأ فردي واحد" مهما حاول قسم التسويق تجميله. Decrypted.
كيرين أشارت إلى أن نقطة تحقق واحدة مخترقة تكفي لسحب الأموال من الجسر، وأي مراجعة أو تدقيق أمني لا يمكنه إصلاح هذا العيب دون "إزالة الثقة الأحادية من الهيكل نفسه".
تم تأييد هذا الرأي من قبل آخرين. يعتقد هاوزه تشيو، مدير شبكة Grvt، أن“يبدو أن Kelp DAO قبلت إعدادًا أمنيًا للجسر، لكنه يفتقر إلى مستوى كافٍ من التكرار بالنسبة لحجم الأصول هذا،” وأضاف أن “نظرًا لأن التسريب يتعلق بالبنية التحتية المرتبطة بكتلة المصادقة الخاصة بها، حتى لو لم تُوصف كثغرة في البروتوكول الأساسي،” فإن LayerZero “تحمل المسؤولية.”
وفقًا لتحليل شركة أمن البلوكشين Cyvers، سرق المهاجمون 100 مليون دولار إضافية في غضون ثلاث دقائق فقط، لكنهم تم وضعهم على قائمة الحظر بسرعة، مما منعهم من مواصلة عملهم. وقال ميل دورييف، الرئيس التنفيذي للتقنية في Cyvers، إن هذه العملية استندت إلى خداع قناة اتصال واحدة. فك التشفير
قام المهاجمون باختراق خطين للتحقق من حدوث سحب حقيقي على Unichain، وأدخلا "نعم" كاذبة في هذين الخطين، ثم قاما بفصل الخطوط المتبقية، مما أجبر نظام التحقق على الاعتماد على الخطوط المخترقة.
"الخزنة بحالة جيدة. الحراس صادقون. آلية قفل الباب تعمل بشكل طبيعي،" قال دوليف. "الكذبة كانت موجهة مباشرة وهادئة إلى الشخص الذي فتح الخزنة بالكلمات."
لكن LayerZero، التي توفر البنية التحتية لجسر التصريف، تشير إلى أن Lazarus قد يكون المذنب، بينما لم تصل Cyvers إلى نفس الاستنتاج في تحليلها الخاص.
قال دوفيل إن بعض الأنماط تتوافق مع إجراءات جمهورية كوريا الشعبية الديمقراطية من حيث التعقيد والحجم والتنسيق في التنفيذ، لكن لم يتم تأكيد أي ارتباط بين المحفظة وهذه المجموعة.
He also added that the malicious node software was carefully designed to self-delete once the attack ends, clearing binary files and logs to obscure the attacker's footprint both in real time and post-incident.
في بداية هذا الشهر، استغل المهاجمون التصريف حوالي 285 مليون دولار أمريكي من بروتوكول Drift القائم على العقود الآجلة الدائمة Solana، وتم نسبه إلى عملاء كوريين شماليين في استغلال لاحق.
أشار دوفيل إلى أن هجوم دريفت كان "مختلفًا تمامًا من حيث التحضير والتنفيذ"، لكن كلا الهجومين احتاجا إلى وقت طويل للتحضير، وخبرة عميقة، وموارد كبيرة لتحقيق النجاح.
Cyvers suspects the stolen funds have been transferred to this Ethereum address, alongside a separate report. Chain analysis firm ZachXBT identified the attack address and flagged it along with four other attack addresses. The source of funds for these attack addresses is... coin mixer. According to ZachXBT, Tornado Cash is currently popular.