LayerZero indicó en un informe preliminar que el ataque que robó aproximadamente 292 millones de dólares del puente cruzado de KelpDAO durante el fin de semana “probablemente” fue llevado a cabo por el grupo norcoreano Lazarus, específicamente su subunidad TraderTraitor.Análisis lunes.
Los atacantes robaron 116.500 rsETH (un token de reestaking de liquidez respaldado por ETH质押) desde el puente de KelpDAO el sábado, desencadenando una ola de retiros en múltiples plataformas. Finanzas descentralizadas El sector retiró más de 10.000 millones de dólares en fondos de protocolos de préstamo. Avi
LayerZero indica que este ataque presenta características de un "actor estatal altamente sofisticado", probablemente el grupo Lazarus de Corea del Norte, y señala específicamente al subgrupo TraderTraitor.
Según informes, las operaciones cibernéticas de Corea del Norte son gestionadas por la Dirección General de Inteligencia, que cuenta con varios departamentos distintos, incluidos TraderTraitor, AppleJeus, APT38 y DangerousPassword.Análisis Autor: Samczsun, investigador de Paradigm.
Entre estas organizaciones subsidiarias, TraderTraitor se considera el actor más sofisticado dentro de Corea del Norte dirigido contra las criptomonedas, y anteriormente se le ha relacionado con Axis Infinite Ronin Bridge y WazirX.
LayerZero indica que KelpDAO utilizó un solo validador para aprobar la entrada y salida de fondos en el puente, y añadió que había instado en múltiples ocasiones a KelpDAO a adoptar múltiples validadores.
LayerZero indica que dejará de aprobar mensajes de aplicaciones que aún estén ejecutando esta configuración.
Punto único de fallo
Los observadores señalaron que esta vulnerabilidad reveló cómo se construyó el puente, haciendo que confíe únicamente en un validador.
El cofundador de la empresa de seguridad criptográfica Sodot, Shalev Kren, dijo que, sin importar cómo lo embellezca el departamento de marketing, se trata de "un único punto de fallo".Decrypt.
Keren indicó que un punto de control comprometido es suficiente para que los fondos salgan del puente, y cualquier auditoría o revisión de seguridad no puede corregir este defecto sin "eliminar la confianza unilateral de la arquitectura misma".
Esta opinión ha sido respaldada por otros. El director de la blockchain Grvt, Haoze Qiu, considera que“Kelp DAO parece haber adoptado un ajuste de seguridad de puente, pero su redundancia es demasiado baja para una cantidad de activos de esta magnitud”, y añadió que, dado que “esta filtración involucra infraestructura relacionada con su pila de validadores, incluso si no se describe como una vulnerabilidad del protocolo central”, LayerZero “también es responsable”.
Según el análisis de la empresa de seguridad blockchain Cyvers, el atacante robó otros 100 millones de dólares en solo tres minutos, pero fue rápidamente incluido en listas negras, lo que impidió sus acciones. El jefe de tecnología de Cyvers, Mel Dolev, indicó que esta operación se basó en engañar un único canal de comunicación.Descifrar
Los atacantes comprometieron las dos líneas de verificación utilizadas para confirmar si realmente se habían realizado retiros en Unichain, ingresaron "sí" falsos en ambas líneas y desconectaron el resto de las líneas, obligando al validador a depender de las líneas comprometidas.
“El cofre está bien. Los guardias son honestos. El mecanismo de cerradura funciona correctamente,” dijo Dolgov. “La mentira fue dicha directamente y en secreto a la persona que abrió el cofre con palabras.”
Pero LayerZero, que proporciona la infraestructura para el puente de desagüe, señala que Lazarus podría ser el responsable, mientras que Cyvers no llega a la misma conclusión en su propio análisis.
Dolgov dijo que algunos patrones coinciden con las acciones de la República Popular Democrática de Corea en términos de complejidad, escala y coordinación de ejecución, pero no se ha confirmado ninguna infección agrupada asociada a un monedero con este grupo.
Él también añadió que el software de nodo malicioso fue cuidadosamente diseñado para eliminarse automáticamente una vez finalizado el ataque, borrando los archivos binarios y los registros, lo que oculta la huella del atacante tanto en tiempo real como después del incidente.
A principios de este mes, los atacantes drenaron aproximadamente 285 millones de dólares estadounidenses de Solana basado en el protocolo Drift de futuros perpetuos, y en posteriores explotaciones de vulnerabilidades se atribuyó a agentes norcoreanos.
Dolev señaló que el ataque de Drift fue "muy diferente en términos de preparación y ejecución", pero ambos ataques requirieron un largo período de preparación, conocimientos especializados profundos y muchos recursos para llevarse a cabo con éxito.
Cyvers suspects the stolen funds have been transferred to this Ethereum address, and separate report chain investigator ZachXBT identified the attack address and flagged it along with four other attack addresses. The source of funds for these attack addresses is... coin mixer. According to ZachXBT, Tornado Cash is hot.