Mensagem do BlockBeats, 20 de maio: A LayerZero publicou o relatório do incidente de ataque ao rsETH: a ponte rsETH do KelpDAO, construída sobre o protocolo de mensagens cross-chain LayerZero, foi atacada em 18 de abril, resultando no roubo de aproximadamente 116.500 rsETH (valor de cerca de US$ 292 milhões). Várias agências de segurança atribuíram o ataque ao grupo de hackers norte-coreano TraderTraitor (UNC4899). O ataque não afetou o protocolo LayerZero nem outros OApps, sendo direcionado exclusivamente à ponte com configuração de validador único do KelpDAO.
O ataque começou em 6 de março, quando os atacantes, por meio de engenharia social, obtiveram a chave de sessão dos desenvolvedores da LayerZero Labs, infiltraram-se em seu ambiente RPC em nuvem e envenenaram os nós RPC internos. Esses nós foram infectados com patches de memória que retornavam respostas normais às ferramentas de monitoramento, mas forneciam informações alteradas do estado da blockchain à DVN (Rede de Validadores Descentralizados) da LayerZero Labs. Em seguida, os atacantes realizaram um ataque DoS contra provedores RPC externos, forçando a DVN a depender exclusivamente dos nós internos comprometidos, permitindo assim a geração de provas válidas para mensagens cross-chain falsificadas. Como o KelpDAO utiliza uma configuração de único validador, o contrato-alvo aceitou a prova única e liberou o rsETH.
Após o incidente, a LayerZero Labs adotou várias medidas:
Alterar a posição operacional, exigindo obrigatoriamente que os canais nos quais o DVN participa atendam às configurações mínimas de segurança (recusar-se a assinar como único validador);
Reconstruir completamente a infraestrutura afetada, adotando uma arquitetura de confiança zero e mecanismos de elevação de permissão imediata;
Colaborar com parceiros ecológicos para reforçar continuamente as configurações de segurança. Ao mesmo tempo, colaborar com autoridades policiais e empresas de segurança para investigar, atribuir e rastrear fundos.