Mensaje de BlockBeats, 20 de mayo: LayerZero publicó el informe del evento de ataque a rsETH: el puente rsETH de KelpDAO, construido sobre el protocolo de mensajes cruzados LayerZero, fue atacado el 18 de abril, resultando en el robo de aproximadamente 116.500 rsETH (valor aproximado de 292 millones de dólares estadounidenses). Varios organismos de seguridad atribuyen este ataque al grupo de hackers norcoreano TraderTraitor (UNC4899). El ataque no afectó al protocolo LayerZero ni a otras OApp, sino únicamente al puente con configuración de validador único de KelpDAO.
El ataque comenzó el 6 de marzo, cuando el atacante obtuvo mediante ingeniería social la clave de sesión de los desarrolladores de LayerZero Labs, infiltró su entorno en la nube RPC y envenenó los nodos RPC internos. Estos nodos fueron modificados con parches en memoria que devolvían respuestas normales a las herramientas de monitoreo, pero proporcionaban información alterada del estado de la cadena de bloques a la DVN (Red de Validadores Descentralizados) de LayerZero Labs. Posteriormente, el atacante lanzó un ataque DoS contra proveedores RPC externos, obligando a la DVN a depender únicamente de los nodos internos comprometidos, lo que permitió generar pruebas válidas para mensajes cross-chain falsificados. Dado que KelpDAO utiliza una configuración de validador único, el contrato objetivo aceptó la prueba única y liberó rsETH.
Después del incidente, LayerZero Labs implementó varias medidas:
Cambiar la postura operativa para exigir formalmente que los canales en los que participa DVN cumplan con la configuración mínima de seguridad (rechazar la firma como único validador);
Reconstruir completamente la infraestructura afectada, utilizando una arquitectura de confianza cero y mecanismos de elevación de permisos en tiempo real;
Colaborar con socios ecológicos para fortalecer continuamente la configuración de seguridad. Al mismo tiempo, colaborar con autoridades policiales y empresas de seguridad para investigar, atribuir y rastrear fondos.