LayerZero a déclaré dans un rapport préliminaire que l'attaque ayant volé environ 292 millions de dollars via le pont cross-chain de KelpDAO pendant le week-end est « très probablement » l'œuvre du groupe nord-coréen Lazarus, en particulier de son sous-groupe TraderTraitor. Analyse lundi.
Les attaquants ont volé 116 500 rsETH (un jeton de ré-质押 liquide soutenu par de l'éther mis en staking) depuis le pont KelpDAO samedi, déclenchant une vague de retraits à travers les plateformes. Finance décentralisée Le secteur a vu plus de 10 milliards de dollars sortir des protocoles de prêt. Avi
LayerZero indique que cette attaque présente les caractéristiques d'un acteur étatique hautement sophistiqué, probablement le groupe Lazarus de la Corée du Nord, et souligne spécifiquement son sous-groupe TraderTraitor.
Selon les rapports, les opérations cybernétiques de la Corée du Nord sont gérées par le Bureau général de la reconnaissance, qui comprend plusieurs départements distincts, notamment TraderTraitor, AppleJeus, APT38 et DangerousPassword.Analyse : Samczsun, chercheur chez Paradigm.
Parmi ces sous-organisations, TraderTraitor est considéré comme l'acteur le plus expérimenté en Corée du Nord ciblant les cryptomonnaies, et aurait précédemment été lié à 轴无限浪人桥 et WazirX.
LayerZero indique que KelpDAO utilise un seul validateur pour approuver les entrées et sorties de fonds sur le pont, et ajoute qu'elle a à plusieurs reprises encouragé KelpDAO à adopter plusieurs validateurs.
LayerZero indique qu'il arrêtera désormais d'approuver les messages d'applications qui continuent d'utiliser ce paramètre.
Point unique de défaillance
Les observateurs ont déclaré que cette faille a révélé comment le pont a été construit, le rendant uniquement digne de confiance en un seul validateur.
Shalev Kren, cofondateur de l'entreprise de sécurité cryptographique Sodot, a déclaré que c'était « un point unique de défaillance », peu importe comment le département marketing le présente. Decrypt.
Keren a déclaré qu'un seul point de contrôle compromis suffisait à permettre le transfert des fonds hors du pont, et qu'aucune audit ou revue de sécurité ne pouvait corriger ce défaut sans "éliminer la confiance unilatérale de l'architecture elle-même".
Cette opinion a été partagée par d'autres. Haoze Qiu, responsable de la chaîne de blocs Grvt, estime que« Kelp DAO semble avoir adopté un paramètre de sécurité de pont, mais sa redondance est trop faible pour un montant d'actifs aussi important », et ajoute que, compte tenu du fait que « cette violation implique l'infrastructure liée à son stack de validateurs, même si cela n'est pas décrit comme une vulnérabilité du protocole central », LayerZero « porte également la responsabilité ».
Selon une analyse de l'entreprise de sécurité blockchain Cyvers, l'attaquant a volé 100 millions de dollars supplémentaires en seulement trois minutes, mais a rapidement été mis sur liste noire, bloquant ainsi ses actions. Mel Dolev, chef technologue de Cyvers, a déclaré que cette opération était basée sur la tromperie d'un seul canal de communication.Déchiffrer
L'attaquant a compromis deux des lignes de vérification utilisées pour vérifier si des retraits ont réellement eu lieu sur Unichain, en y entrant de fausses réponses « oui », puis a mis hors ligne les autres lignes, forçant le validateur à dépendre des lignes compromises.
« Le coffre-fort n’a aucun problème. Les gardes sont honnêtes. Le mécanisme de verrouillage de la porte fonctionne normalement », a déclaré Dolgov. « Le mensonge a été directement et discrètement transmis à la personne qui a ouvert le coffre-fort par des mots. »
Mais LayerZero, qui fournit l'infrastructure pour les ponts de décharge, indique que Lazarus pourrait être le coupable, tandis que Cyvers n'arrive pas à la même conclusion dans son propre analyse.
Dolgov a déclaré que certains schémas correspondent en complexité, échelle et coordination à des actions de la République populaire démocratique de Corée, mais aucune infection regroupée liée à un portefeuille n'a été confirmée pour ce groupe.
Il a également ajouté que le logiciel de nœud malveillant a été soigneusement conçu pour se supprimer automatiquement une fois l'attaque terminée, effaçant les fichiers binaires et les journaux afin de dissimuler les traces de l'attaquant en temps réel et après coup.
Au début de ce mois, les attaquants ont vidé environ 285 millions de dollars américains du protocole Drift basé sur des contrats perpétuels Solana, et les exploits ultérieurs ont été attribués à des agents nord-coréens.
Dolev souligne que l'attaque contre Drift était « très différente en termes de préparation et d'exécution », mais que les deux attaques nécessitaient une longue période de préparation, une expertise approfondie et de nombreuses ressources pour être menées à bien.
Cyvers suspects the stolen funds have been transferred to this Ethereum address, with a separate report from chain investigator ZachXBT, who identified the attack address and flagged it alongside four other attack addresses. The source of funds for these attack addresses is... coin mixer. According to ZachXBT, Tornado Cash is currently popular.