LayerZero dalam laporan awal menyatakan bahwa serangan yang mencuri sekitar $292 juta dari jembatan lintas rantai KelpDAO selama akhir pekan "sangat mungkin" dilakukan oleh kelompok Lazarus Korea Utara, khususnya subdepartemen TraderTraitor-nya.Analisis Senin.
Penyerang mencuri 116.500 rsETH (sebuah token re-staking yang didukung oleh ETH yang di-stake) dari jembatan KelpDAO pada hari Sabtu, memicu gelombang penarikan lintas platform. Keuangan terdesentralisasi Industri ini tarik lebih dari $10 miliar dana protokol pinjaman keluar dari Aave.
LayerZero menyatakan bahwa serangan ini memiliki ciri-ciri "aktor negara yang sangat kompleks", kemungkinan besar merupakan Lazarus Group dari Korea Utara, dan secara khusus menunjuk pada subdepartemen TraderTraitor dari kelompok tersebut.
Dilaporkan bahwa operasi siber Korea Utara ditangani oleh Badan Intelijen Umum, yang memiliki beberapa departemen berbeda, termasuk TraderTraitor, AppleJeus, APT38, dan DangerousPassword.Analisis Penulis: Samczsun, peneliti Paradigm.
Di antara organisasi-organisasi ini, TraderTraitor dianggap sebagai pelaku paling canggih di Korea Utara yang menargetkan cryptocurrency, sebelumnya terkait dengan Axis Infinite Ronin Bridge dan WazirX.
LayerZero menyatakan bahwa KelpDAO menggunakan satu validator untuk menyetujui arus masuk dan keluar dana bridge, dan menambahkan bahwa mereka telah beberapa kali mendesak KelpDAO untuk beralih ke beberapa validator.
LayerZero menyatakan bahwa ke depannya akan menghentikan persetujuan terhadap pesan aplikasi yang masih menjalankan pengaturan tersebut.
Single point of failure
Para pengamat mengatakan bahwa kerentanan ini mengungkapkan bagaimana jembatan tersebut dibangun, sehingga hanya mempercayai satu validator.
Sahel Kren, co-founder of cybersecurity firm Sodot, mengatakan bahwa ini adalah "single point of failure," terlepas dari bagaimana departemen pemasaran mencoba mempercantiknya. Decrypted.
Keren menyatakan bahwa satu titik pemeriksaan yang berhasil diretas sudah cukup untuk membuat dana keluar dari jembatan, dan tidak ada audit atau tinjauan keamanan yang dapat memperbaiki kelemahan ini tanpa "menghilangkan kepercayaan sepihak dari arsitektur itu sendiri".
Pandangan ini didukung oleh orang lain. Grvt blockchain负责人Haoze Qiu认为,“Kelp DAO tampaknya menerima pengaturan keamanan jembatan, tetapi redundansinya terlalu rendah untuk aset sebesar ini,” dan menambahkan bahwa mengingat “kebocoran ini melibatkan infrastruktur terkait stack validator-nya, bahkan jika ini tidak digambarkan sebagai kerentanan protokol inti,” LayerZero “juga bertanggung jawab.”
Menurut analisis dari perusahaan keamanan blockchain Cyvers, pelaku serangan mencuri tambahan 100 juta dolar AS dalam waktu hanya tiga menit, tetapi kemudian segera diblokir, menghentikan tindakan mereka. Kepala Teknologi Cyvers, Mel Dolev, menyatakan bahwa serangan ini dilakukan berdasarkan penipuan pada saluran komunikasi tunggal.Decrypted.
Penyerang menyusup ke dua jalur yang digunakan validator untuk memeriksa apakah penarikan benar-benar terjadi di Unichain, memasukkan jawaban "ya" palsu ke kedua jalur tersebut, lalu mematikan jalur-jalur lainnya, memaksa validator bergantung pada jalur yang telah disusupi.
“Safe is fine. The security guard is honest. The door lock mechanism is also working normally,” Dolgov said. “The lie was told directly and quietly to the person who verbally opened the safe.”
Namun, LayerZero yang menyediakan infrastruktur untuk jembatan pelepasan banjir menunjukkan bahwa Lazarus kemungkinan adalah pelakunya, sementara Cyvers dalam analisisnya sendiri tidak sampai pada kesimpulan yang sama.
Dolgov mengatakan bahwa beberapa pola sesuai dengan tindakan Republik Demokratik Rakyat Korea dalam hal tingkat kompleksitas, skala, dan koordinasi pelaksanaan, tetapi tidak ada dompet yang terkait dengan kelompok tersebut yang telah dikonfirmasi mengalami infeksi berkelompok.
Dia juga menambahkan bahwa perangkat lunak node jahat dirancang dengan cermat untuk menghapus dirinya sendiri setelah serangan berakhir, membersihkan file biner dan log, sehingga menyamarkan jejak penyerang baik secara real-time maupun setelah kejadian.
Pada awal bulan ini, penyerang mengekstraksi sekitar $285 juta dari protokol Drift berbasis kontrak berjangka berbasis Solana, dan dalam eksploitasi selanjutnya, dikaitkan dengan agen Korea Utara.
Dolev menunjukkan bahwa serangan terhadap Drift "sangat berbeda dalam hal persiapan dan pelaksanaannya", tetapi kedua serangan tersebut memerlukan waktu persiapan yang panjang, keahlian mendalam, dan sumber daya besar untuk berhasil dilakukan.
Sefers suspects the stolen funds have been transferred to this Ethereum address, with a separate report from chain investigator ZachXBT, who identified the attack address and flagged it alongside four other attack addresses. The source of funds for these attack addresses is... coin mixer. According to ZachXBT, Tornado Cash is currently popular.