LayerZero dalam laporan awal menyatakan bahawa serangan yang mencuri sekitar US$292 juta dari jambatan lintas rantai KelpDAO pada hujung minggu itu “sangat mungkin” dilakukan oleh kumpulan Lazarus Korea Utara, khususnya anak cabangnya TraderTraitor.Analisis Isnin.
Pada hari Sabtu, penyerang mencuri 116,500 rsETH (sejenis token re-staking yang didukung oleh ether yang di-stake) daripada jambatan KelpDAO, memicu gelombang penarikan lintas platform. Keuangan terdesentralisasi Industri ini tarik lebih daripada $10 bilion dana protokol pinjaman keluar dari Avi.
LayerZero menyatakan bahawa serangan ini memiliki ciri-ciri "aktor negara yang sangat kompleks", kemungkinan besar merupakan Lazarus Group dari Korea Utara, dan secara khusus menunjuk kepada subbahagian TraderTraitor mereka.
Dilaporkan bahawa operasi siber Korea Utara diuruskan oleh Agensi Pemeriksaan Umum, yang memiliki beberapa jabatan berbeza, termasuk TraderTraitor, AppleJeus, APT38, dan DangerousPassword.Analisis Penulis: Samczsun, penyelidik Paradigm.
Di antara organisasi-organisasi ini, TraderTraitor dianggap sebagai pelaku paling mahir di Korea Utara yang menargetkan kripto, sebelumnya dikaitkan dengan Axis Infinite Ronin Bridge dan WazirX.
LayerZero menyatakan bahawa KelpDAO menggunakan satu validator sahaja untuk mengesahkan aliran dana masuk dan keluar melalui jambatan, dan menambahkan bahawa ia telah berulang kali mendesak KelpDAO untuk beralih kepada beberapa validator.
LayerZero menyatakan bahawa mereka akan berhenti menyetujui sebarang mesej daripada aplikasi yang masih menjalankan tetapan tersebut.
Titik kegagalan tunggal
Pengamat mengatakan bahawa lubang keamanan ini menunjukkan bagaimana jambatan tersebut dibina, sehingga ia hanya mempercayai satu penentu.
Pendiri bersama syarikat keselamatan kripto Sodot, Shalev Kren, mengatakan bahawa ini adalah "kegagalan titik tunggal", tidak kira bagaimana bahagian pemasaran cuba memperindahnya.Decrypted.
Keren menyatakan bahawa satu titik pemeriksaan yang diretas sudah cukup untuk memindahkan dana keluar dari jambatan, dan sebarang audit atau tinjauan keselamatan tidak dapat memperbaiki kelemahan ini tanpa "menghilangkan kepercayaan sepihak dari arsitektur itu sendiri".
Pandangan ini disetujui oleh orang lain. Grvt blockchain, ketua Haoze Qiu, berpendapat,“Kelp DAO tampaknya menerima pengaturan keamanan jembatan, tetapi redundansinya terlalu rendah untuk aset sebesar ini,” dan menambahkan bahwa mengingat “kebocoran ini melibatkan infrastruktur yang terkait dengan stack validator-nya, walaupun tidak digambarkan sebagai kerentanan protokol inti,” LayerZero “juga bertanggung jawab.”
Menurut analisis oleh syarikat keselamatan blockchain Cyvers, penyerang telah mencuri sebanyak $100 juta lagi dalam masa tiga minit, tetapi kemudian dengan cepat disenarai hitam, menghalang tindakan mereka. Ketua Teknologi Cyvers, Mel Dolev, menyatakan bahawa operasi ini dipicu oleh penipuan saluran komunikasi tunggal.解密
Penyerang menyusup ke dua saluran yang digunakan oleh validator untuk memeriksa sama ada penarikan benar-benar berlaku di Unichain, memasukkan jawapan “ya” palsu ke kedua-dua saluran tersebut, kemudian mematikan saluran yang tinggal, memaksa validator bergantung kepada saluran yang disusupi.
“Kunci emas tidak bermasalah. Penjaga amanah. Mekanisme kunci pintu berfungsi dengan baik,” kata Dolgov. “Pembohongan itu diberitahu secara rahsia kepada orang yang membuka kunci emas dengan perkataan.”
Namun, LayerZero yang menyediakan infrastruktur untuk jambatan peluahan menyatakan bahawa Lazarus mungkin merupakan punca utamanya, manakala Cyvers dalam analisisnya sendiri tidak sampai kepada kesimpulan yang sama.
Dolgov mengatakan bahawa beberapa pola sejajar dengan tindakan Republik Demokratik Rakyat Korea dari segi kompleksiti, skala, dan koordinasi pelaksanaan, tetapi tiada dompet yang dikaitkan dengan kelompok tersebut telah disahkan mengalami infeksi berkelompok.
Dia juga menambahkan bahawa perisian nod jahat direka dengan teliti untuk menghapus dirinya sendiri setelah serangan berakhir, membersihkan fail binari dan log, dengan demikian menyembunyikan jejak penyerang secara masa nyata dan selepas kejadian.
Pada awal bulan ini, penyerang mengekstrak sebanyak US$285 juta dari protokol Drift berbasis perpajakan berterusan Solana, dan serangan susulan tersebut diatribusikan kepada agen Korea Utara.
Dolev menunjukkan bahawa serangan terhadap Drift "sangat berbeza dari segi persiapan dan pelaksanaan", tetapi kedua-dua serangan itu memerlukan masa persiapan yang panjang, pengetahuan teknikal yang mendalam, dan sumber yang banyak untuk dilaksanakan dengan berjaya.
Cyvers menduga dana yang dicuri telah dipindahkan ke alamat Ethereum ini, dan penyelidik rantai yang terpisah, ZachXBT, telah mengenal pasti alamat serangan tersebut dan menandainya bersama empat alamat serangan lainnya. Sumber dana bagi alamat-alamat serangan ini adalah... coin mixer, menurut laporan ZachXBT, Tornado Cash sedang sangat popular.