A LayerZero afirmou em um relatório preliminar que o ataque que roubou aproximadamente US$ 292 milhões da ponte cross-chain da KelpDAO durante o fim de semana “muito provavelmente” foi realizado pelo grupo norte-coreano Lazarus, especificamente seu subgrupo TraderTraitor.Análise segunda-feira.
No sábado, atacantes roubaram 116.500 rsETH (um token de reestaking de liquidez respaldado por ether质押ado) da ponte KelpDAO, desencadeando uma corrida aos saques em várias plataformas. Finanças descentralizadas O setor sofreu saídas de mais de 10 bilhões de dólares em fundos de protocolos de empréstimo Avax.
LayerZero afirmou que o ataque apresenta características de "atores estatais altamente sofisticados", provavelmente o grupo Lazarus da Coreia do Norte, e destacou especificamente seu subgrupo TraderTraitor.
Relata-se que as operações cibernéticas da Coreia do Norte são geridas pela Agência Geral de Inteligência, que possui vários departamentos distintos, incluindo TraderTraitor, AppleJeus, APT38 e DangerousPassword.Análise Autor: Samczsun, pesquisador da Paradigm.
Dentre essas organizações, o TraderTraitor é considerado o ator mais sofisticado dentro da Coreia do Norte voltado para criptomoedas, anteriormente associado ao 轴无限浪人桥 e ao WazirX.
LayerZero afirmou que o KelpDAO utilizou um único validador para aprovar a entrada e saída de fundos na ponte, e acrescentou que já havia incentivado repetidamente o KelpDAO a adotar múltiplos validadores.
LayerZero afirmou que deixará de aprovar mensagens de aplicativos que ainda estejam executando essa configuração.
Ponto único de falha
Especialistas afirmam que essa vulnerabilidade revelou como o bridge foi construído, fazendo com que confiasse apenas em um validador.
O cofundador da empresa de segurança criptográfica Sodot, Shalev Kren, disse que, independentemente de como o departamento de marketing a disfarce, isso é “um único ponto de falha”.Decrypted.
Keren afirmou que um ponto de verificação comprometido é suficiente para permitir que os fundos saiam da ponte, e nenhum auditor ou revisão de segurança pode corrigir essa falha sem "eliminar a confiança unilateral da própria arquitetura".
Essa opinião foi compartilhada por outros. O chefe da blockchain Grvt, Haoze Qiu, afirmou,“O Kelp DAO parece ter adotado um configuração de segurança de ponte, mas sua redundância é muito baixa para ativos dessa escala,” e acrescentou que, dado que “este vazamento envolve infraestrutura relacionada ao seu stack de validadores, mesmo que isso não tenha sido descrito como uma vulnerabilidade do protocolo central,” a LayerZero “também é responsável.”
De acordo com a análise da empresa de segurança blockchain Cyvers, o atacante roubou mais US$ 100 milhões em apenas três minutos, mas foi rapidamente adicionado à lista negra, impedindo suas ações. O chefe de tecnologia da Cyvers, Mel Dolev, afirmou que a operação foi baseada em enganar um único canal de comunicação. Descriptografar.
Os atacantes invadiram as duas linhas usadas pelo validador para verificar se realmente ocorreram saques na Unichain, inserindo “sim” falsas nessas linhas e desativando as demais linhas, forçando o validador a depender das linhas comprometidas.
“O cofre está bem. Os seguranças são honestos. O mecanismo de travamento da porta também funciona normalmente,” disse Dolgov. “A mentira foi dita diretamente e discretamente à pessoa que abriu o cofre com palavras.”
Mas a LayerZero, que fornece a infraestrutura para a ponte de alívio de enchentes, aponta o Lazarus como possível responsável, enquanto a Cyvers não chegou à mesma conclusão em sua própria análise.
Dolgov disse que alguns padrões são consistentes com as ações da República Popular Democrática da Coreia em termos de complexidade, escala e coordenação, mas nenhuma infecção agregada relacionada a um carteira desse grupo foi confirmada.
Ele também acrescentou que o software de nó malicioso foi cuidadosamente projetado para se autoexcluir após o término do ataque, eliminando arquivos binários e logs, ocultando assim a trilha do atacante em tempo real e após o incidente.
No início deste mês, os atacantes drenaram aproximadamente US$ 285 milhões de protocolos baseados em contratos futuros contínuos Drift em Solana, e as explorações subsequentes foram atribuídas a agentes norte-coreanos.
Dolev apontou que o ataque ao Drift foi “muito diferente em termos de preparação e execução”, mas ambas as investidas exigiram longos períodos de preparação, profundo conhecimento técnico e grandes recursos para serem bem-sucedidas.
Cyvers suspects the stolen funds have been transferred to this Ethereum address, with a separate report from chain investigator ZachXBT, who identified the attack address and flagged it alongside four other attack addresses. The source of funds for these attack addresses is... coin mixer. According to ZachXBT, Tornado Cash is currently popular.