- Bypassado ng RPC attack ang mga pagsisiguro, nagbigay-daan sa $290M na exploit sa KelpDAO rsETH
- Isang single verifier setup ang nag-expose ng vulnerability, na nagpapahintulot sa mga attacker na manipulahin ang mga transaction confirmation
- Pinatotohanan ng LayerZero ang walang kalat, at sinikap ang pangangailangan para sa mga modelo ng seguridad na may maraming verifier
Nasiraan ng malaking paglabag ang KelpDAO na nagpakita ng mga kahinaan sa blockchain infrastructure kaysa sa pangunahing disenyo ng protokolo. Ang insidente ay nagresulta sa pagkawala ng halos $290 milyon at agad na nakakuha ng atensyon sa buong industriya. Ayon sa LayerZero Labs, ang mga maagang natuklasan ay nagtuturo sa isang pinagsamang RPC-based attack na may kinalaman sa Lazarus Group.
Ayon sa opisyal na paglalathala, hindi nag-brush ang mga attacker sa ilalim na protokolo. Sa halip, tinarget nila ang proseso ng pag-verify na nakadepende sa mga panlabas na pinagkukunan ng datos. Bilang resulta, ipinakikita ng pag-atake ang patuloy na pagtutok sa mga vulnerability sa antas ng infrastruktura sa loob ng mga decentralizadong sistema.
Dagdag pa, ang paglabas ay nakatuon sa konpigurasyon ng KelpDAO na rsETH, na nagtatagpo sa isang solong network ng pagpapatotoo. Ang ganitong setup ay gumawa ng direkta na punto ng pagkabigo na ginamit ng mga manlalait nang tumpak. Bilang resulta, ang manipuladong data ay lumipas sa mga pagsusuri ng pagpapatotoo at nag-trigger ng hindi awtorisadong pagkumpirma ng transaksyon.
Dagdag pa, pinatotohanan ng LayerZero na ang exploit ay nanatiling isinalo sa partikular na konfigurasyong ito. Patuloy na gumagana ang iba pang mga aplikasyon na gumagamit ng iba’t ibang modelo ng pag-verify nang walang pagkabigo. Kaya, ang pagkakapigil ay nagpapakita ng kahalagahan ng distributed validation sa pagbabawas ng systemic risk.
Basahin Rin: Ang Crypto Market ay Huminto Habang Nakatitig ang BTC sa $74K Habang Ang Mga Altcoin ay Tumataas Nang Malaki
Pinagana ang RPC manipulation na nagdulot ng mga pinagsamang pagpapatunay ng transaksyon
Ayon sa teknikal na paliwanag, ang mga attacker ay nakapagkompromiso sa mga partikular na RPC node na ginagamit sa pag-verify ng transaksyon. Nilikha nila ang node binaries at binago ang mga system response upang magbigay ng maling data nang selektibo. Bilang resulta, ang mga manipuladong node ay nagbigay ng maling detalye ng transaksyon lamang sa mga targeted na sistema ng pag-verify.
Gayunpaman, nagpatuloy ang mga serbisyo sa pagmamasid sa pagtatanggap ng tumpak na data, na nagdulot ng pagkakaltas sa pagkakakilala sa paglabas. Bukod dito, sinimulan ng mga mananakop ang DDoS activity laban sa mga node na hindi naapektuhan upang pilitin ang system failover. Ang pagbabalik na ito ay nagdulot ng mas malaking pagkakabase sa kompromisong imprastruktura at pinayagan ang pagkakaroon ng pag-atake.
Bilang resulta, ang verification network ay nag-verify ng mga transaksyon na hindi nagawa sa-chain. Sa kabila nito, sinabi ng LayerZero na ang kanilang protocol ay gumana ayon sa disenyo sa buong insidente. Ang pagkabigo ay nagmula sa paraan kung paano inilahad ng external infrastructure ang data sa sistema.
Dagdag pa, sinabi ng LayerZero na ang multi-verifier setups ay nagpapababa ng pagkakasalalay sa isang solong pinagkukunan ng datos. Ang mga ganitong konpigurasyon ay nag-iwas sa mga hacker na pagsamantalan ang mga hiwalay na kahinaan sa loob ng mga network ng pag-verify. Sa kabaligtaran, ang single-layer na pagkakabuo ng KelpDAO ay naglikha ng mga kondisyon para sa pagpapalaganap ng pag-atake. Bukod pa rito, ang lahat ng apektadong sistema ay napalitan na, at pinagpalakas ang mga pagsisiguro. Ang pagbubugso ay nagpapakita ng pagbabago patungo sa mga estratehiya ng pag-atake na nakatuon sa imprastruktura sa mga ecosystem ng blockchain. Ito ay nagpapatibay din sa pangangailangan ng mga redundant na sistema ng pag-verify upang maiwasan ang katulad na insidente.
Lumabas ang post $290M KelpDAO Hack Exposes RPC Attack Linked to Lazarus Group una sa 36Crypto.