Aquí hay un interesante post-mortem, pero me deja con más preguntas porque parece tan defensivo. De todos modos, vamos a lo básico primero. Según LZ, el 18 de abril, el grupo Lazarus (unidad TraderTraitor) de la RPDC robó $290 millones del puente rsETH de KelpDAO. El ataque, paso a paso: ❶ El atacante encontró la lista de nodos RPC (los "ojos") que el verificador de LayerZero confía para determinar la verdad ❷ Hackeó 2 de ellos. Configuró el software malicioso para mentir solo al verificador, y decir la verdad a todos los demás, para que los sistemas de monitoreo no vieran nada anormal ❸ Realizó un ataque DDoS contra los nodos RPC honestos, desconectándolos. El verificador cambió a los nodos envenenados ❹ El verificador recibió una transacción falsa como si fuera real. La aprobó. El puente liberó $290 millones en rsETH que no estaban respaldados por nada ❺ El malware se autodestruyó. El binario se eliminó, los registros se borraron, las configuraciones desaparecieron LZ afirmó que Kelp utilizó un solo verificador (configuración 1-de-1 DVN) a pesar de las advertencias repetidas de LayerZero. Un solo verificador, un único punto de fallo, y confirma que el daño está aislado. Cero contagio a cualquier otro activo hasta ahora. Pero aún tengo muchas preguntas, cmiiw: - Si la configuración 1/1 DVN fue imprudencia, ¿por qué se permitió lanzarla? - La infraestructura comprometida pertenece a LayerZero Labs, no a Kelp. - ¿Cómo obtuvo el atacante la lista de RPC en primer lugar? - Reemplazar el binario en nodos de producción implica una compromiso a nivel root. Sobre el envenenamiento de RPC: o bien esta configuración se filtró (lo que sugiere un compromiso previo, no reportado, de LayerZero), o el atacante lo inferió mediante un análisis sofisticado del tráfico. Reemplazar el binario op-geth en ejecución en un nodo RPC de producción requiere una de las siguientes: acceso root en el servidor, una canal de despliegue comprometida, o acceso interno. ¿Cuál fue? La declaración no lo dice. Si fue la canal de despliegue, es un incidente de cadena de suministro. Si fue un compromiso de credenciales, el alcance es más amplio de lo que admiten. La declaración evita por completo esta pregunta.
Compartir
Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información.
Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.