رسالة من BlockBeats، في 20 مايو، أصدرت LayerZero تقريرًا عن حادثة الهجوم على rsETH: تم استهداف جسر KelpDAO rsETH المبني على بروتوكول LayerZero للرسائل عبر السلاسل في 18 أبريل، مما أدى إلى سرقة حوالي 116,500 rsETH (بقيمة حوالي 292 مليون دولار أمريكي). وقد نسبت عدة وكالات أمنية هذا الهجوم إلى منظمة القرصنة الكورية الشمالية TraderTraitor (UNC4899). لم يؤثر الهجوم على بروتوكول LayerZero نفسه أو أي OApp آخر، بل استهدف فقط جسر التحقق الوحيد لـ KelpDAO.
بدأ الهجوم في 6 مارس، حيث حصل المهاجمون على مفتاح جلسة مطوري LayerZero Labs من خلال الهندسة الاجتماعية، ونفذوا اختراقًا لبيئتهم السحابية RPC وسمموا عقد RPC الداخلي. تم تثبيت تصحيحات ذاكرة في هذه العقد لتوفير استجابات طبيعية لأدوات المراقبة، بينما قدمت معلومات مُزوَّرة عن حالة البلوكشين إلى شبكة DVN الخاصة بـ LayerZero Labs (شبكة المدققين اللامركزية). بعد ذلك، شن المهاجمون هجوم DoS على مزودي RPC الخارجيين، مما أجبر DVN على الاعتماد حصريًا على العقد الداخلية المخترقة، مما أدى في النهاية إلى إنشاء إثباتات صالحة للرسائل المتقاطعة المزيفة. وبما أن KelpDAO تستخدم تكوين مدقق واحد، قبل العقد المستهدف الإثبات الوحيد وفتح rsETH.
بعد الحادث، اتخذت LayerZero Labs عدة إجراءات:
تغيير الموقف التشغيلي، وطلب إلزامي أن تلبي القنوات التي تشارك فيها DVN الحد الأدنى من التكوينات الأمنية (رفض كمُوقِّع مُحقق وحيد)؛
إعادة بناء البنية التحتية المتأثرة بالكامل باستخدام معمارية الصفر ثقة وآليات رفع الصلاحيات الفورية؛
التعاون مع شركاء البيئة لتعزيز إعدادات الأمان باستمرار. كما التعاون مع السلطات التنفيذية وشركات الأمن للتحقيق وتحديد المصدر وتتبع الأموال.