Post-mortem intéressant, mais il me laisse avec plus de questions, car il semble extrêmement défensif. Quoi qu’il en soit, revenons aux faits de base. Selon LZ, le 18 avril, le groupe Lazarus (unité TraderTraitor) de la RPDC a volé 290 millions de dollars à la passerelle rsETH de KelpDAO. L’attaque, étape par étape : ❶ L’attaquant a obtenu la liste des nœuds RPC (les « yeux ») que le vérificateur de LayerZero traite comme sources de vérité ❷ Il a piraté deux d’entre eux. Il a installé un logiciel malveillant conçu pour mentir uniquement au vérificateur, tout en fournissant la vérité à tout le monde, afin que les systèmes de surveillance ne détectent aucun problème ❸ Il a effectué une attaque DDoS sur les nœuds RPC honnêtes pour les mettre hors ligne. Le vérificateur a basculé vers les nœuds empoisonnés ❹ Le vérificateur a reçu une fausse transaction traitée comme réelle. Il l’a validée. La passerelle a libéré 290 millions de dollars en rsETH non garantis ❺ Le logiciel malveillant s’est auto-détruit. Le binaire a été supprimé, les journaux effacés, les configurations effacées LZ affirme que Kelp utilisait un seul vérificateur (configuration 1 sur 1 DVN), malgré les avertissements répétés de LayerZero. Un seul vérificateur, un seul point de défaillance, ce qui confirme que les dégâts sont isolés. Aucune contagion n’a été observée sur d’autres actifs pour l’instant. Mais je reste encore avec beaucoup de questions, cmiiw : - Si la configuration 1/1 DVN constituait une négligence, pourquoi a-t-elle été autorisée à être déployée ? - L’infrastructure compromise appartient à LayerZero Labs, pas à Kelp. - Comment l’attaquant a-t-il obtenu la liste des RPC au départ ? - Le remplacement du binaire sur des nœuds en production implique une compromission au niveau root. Concernant le poison RPC : soit cette configuration a fuité (ce qui suggère une compromission antérieure non déclarée de LayerZero), soit l’attaquant l’a déduite via une analyse sophistiquée du trafic. Remplacer le binaire op-geth en cours d’exécution sur un nœud RPC en production nécessite l’une des conditions suivantes : accès root sur la machine, pipeline de déploiement compromis, ou accès interne. Laquelle était-ce ? La déclaration ne le précise pas. Si c’était le pipeline de déploiement, c’est un incident de chaîne d’approvisionnement. Si c’est une compromission d’identifiants, l’étendue est plus large que ce qu’ils admettent. La déclaration contourne complètement cette question.
Partager
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations.
Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.