यहाँ एक दिलचस्प पोस्ट-मॉर्टम है, लेकिन यह मुझे और अधिक प्रश्न छोड़ देता है क्योंकि यह इतना बचावभावी लगता है। तो, आइए सबसे पहले मूल बातों पर आएँ। LZ के अनुसार, 18 अप्रैल को, उत्तर कोरिया के Lazarus Group (ट्रेडरट्रेटर यूनिट) ने KelpDAO के rsETH ब्रिज से $290M चुरा लिए। हमला, कदम दर कदम: ❶ हमलावर ने LayerZero के वेरिफायर द्वारा सत्य के लिए विश्वास किए जाने वाले RPC नोड्स (जिन्हें "आँखें" कहा जाता है) की सूची पाई ❷ उनमें से 2 को हैक कर लिया। दुष्ट सॉफ़्टवेयर को इस तरह से सेट किया गया कि वह केवल वेरिफायर को झूठ बताए, और सभी अन्य को सच बताए, ताकि मॉनिटरिंग सिस्टम कुछ भी गलत न देख सकें ❸ सच्चे RPC को DDoS हमले से ऑफ़लाइन कर दिया। वेरिफायर ने संक्रमित नोड्स पर स्विच कर लिया ❹ वेरिफायर को एक झूठा लेन-देन सच्चे के रूप में प्रस्तुत किया गया। इसने मंजूरी दे दी। ब्रिज ने $290M के rsETH को जारी कर दिया, जो किसी भी चीज़ से समर्थित नहीं था ❺ मैलवेयर स्वयं को मिटा दिया। बाइनरी हटा दी, लॉग्स मिटा दिए, कॉन्फ़िगरेशन हटा दिए LZ ने कहा कि Kelp, LayerZero की बार-बार होने वाली चेतावनियों के बावजूद, सिर्फ़ 1 प्रमाणीकर्ता (1-of-1 DVN सेटअप) का उपयोग करता है। 1 प्रमाणीकर्ता, 1 संभावित विफलता-बिंदु, और हानि सीमित है। अबतक किसी अन्य संपत्ति में कोई संक्रमण नहीं हुआ है। लेकिन मुझे अभी भी कई प्रश्न हैं, cmiiw: - अगर 1/1 DVN मैलप्रैक्टिस है, तो इसे प्रोडक्शन में क्यों मंजूर किया गया? - संक्रमित संरचना LayerZero Labs की है, Kelp की नहीं। - हमलावर को RPC सूची पहले से ही कैसे मिली? - प्रोडक्शन नोड्स पर बाइनरी का स्वैप करने का मतलब है root-लेवल का संक्रमण। RPC संक्रमण के मामले में: या तो यह कॉन्फ़िगरेशन सार्वजनिक हो गया (जो पहले से हुए, प्रकट हुए, LayerZero हमले की संकेत देता है), ya phir हमलावर ne sophisticated traffic analysis ke zariye iska anumān lagāyā. एक प्रोडक्शन RPC node पर op-geth binary को प्रतिस्थापित करने के लिए, 1/3 में से कुछ होना ही पड़ता है: box पर root access, compromised deploy pipeline, ya insider access. कौन सा? यह स्टेटमेंट में कुछ nahi kaha gaya. Agar deploy pipeline tha, to ye ek supply-chain incident hai. Agar credential compromise tha, to scope unke batae gaye se bhi bada hai. यह स्टेटमेंट पूरी tarah se is sawal se bhaag raha hai.
साझा करें
स्रोत:मूल दिखाएं
डिस्क्लेमर: इस पेज पर दी गई जानकारी थर्ड पार्टीज़ से प्राप्त की गई हो सकती है और यह जरूरी नहीं कि KuCoin के विचारों या राय को दर्शाती हो। यह सामग्री केवल सामान्य सूचनात्मक उद्देश्यों के लिए प्रदान की गई है, किसी भी प्रकार के प्रस्तुतीकरण या वारंटी के बिना, न ही इसे वित्तीय या निवेश सलाह के रूप में माना जाएगा। KuCoin किसी भी त्रुटि या चूक के लिए या इस जानकारी के इस्तेमाल से होने वाले किसी भी नतीजे के लिए उत्तरदायी नहीं होगा।
डिजिटल संपत्तियों में निवेश जोखिम भरा हो सकता है। कृपया अपनी वित्तीय परिस्थितियों के आधार पर किसी प्रोडक्ट के जोखिमों और अपनी जोखिम सहनशीलता का सावधानीपूर्वक मूल्यांकन करें। अधिक जानकारी के लिए, कृपया हमारे उपयोग के नियम और जोखिम प्रकटीकरण देखें।