Posting pasca-kejadian yang menarik, tapi justru membuat saya punya lebih banyak pertanyaan karena terasa sangat defensif. Bagaimanapun, mari kita mulai dari dasarnya terlebih dahulu. Berdasarkan LZ, pada 18 April, Lazarus Group (unit TraderTraitor) dari DPRK mencuri $290 juta dari jembatan rsETH KelpDAO. Serangan ini, langkah demi langkah: ❶ Penyerang menemukan daftar node RPC (mata "verifier") yang dipercaya LayerZero untuk menentukan kebenaran ❷ Mereka membobol 2 di antaranya. Memasang perangkat lunak jahat yang hanya berbohong kepada verifier, tetapi tetap memberikan informasi benar kepada semua pihak lain agar sistem pemantauan tidak mendeteksi apa pun yang salah ❸ Melakukan DDoS terhadap node RPC yang jujur hingga offline. Verifier beralih ke node-node yang telah diracuni ❹ Verifier menerima transaksi palsu sebagai transaksi asli, menandatanganinya. Jembatan melepaskan rsETH senilai $290 juta yang tidak didukung oleh apa pun ❺ Perangkat lunak jahat menghancurkan dirinya sendiri. Binary dihapus, log dihapus, konfigurasi hilang LZ menyatakan bahwa Kelp menggunakan satu verifier saja (pengaturan 1-of-1 DVN), melawan peringatan berulang dari LayerZero. Satu verifier, satu titik kegagalan, dan memastikan kerusakan terbatas. Tidak ada kontaminasi terhadap aset lain hingga saat ini. Tetapi saya masih punya banyak pertanyaan, cmiiw: - Jika 1/1 DVN adalah praktik buruk, mengapa izin untuk meluncurkannya diberikan? - Infrastruktur yang dikompromikan milik LayerZero Labs, bukan Kelp. - Bagaimana penyerang bisa mendapatkan daftar RPC tersebut sejak awal? - Mengganti binary pada node produksi mengimplikasikan kompromi tingkat root. Mengenai pencemaran RPC: entah konfigurasi ini bocor (yang menunjukkan kompromi LayerZero sebelumnya yang tidak dilaporkan), atau penyerang menyimpulkannya melalui analisis lalu lintas yang canggih. Mengganti binary op-geth yang sedang berjalan pada node RPC produksi memerlukan salah satu dari hal-hal berikut: akses root pada mesin tersebut, pipeline deploy yang telah dikompromikan, atau akses dari dalam. Yang mana? Pernyataan itu tidak menyebutkan. Jika itu pipeline deploy, maka ini adalah insiden rantai pasokan. Jika itu kompromi kredensial, cakupannya lebih luas dari yang mereka akui. Pernyataan itu sama sekali menghindari pertanyaan ini.
Bagikan
Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini.
Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.