Mars Finance noticia que, segundo análise de Yu Xian (@evilcos), fundador da SlowMist, o núcleo do ataque que resultou no roubo de aproximadamente US$ 290 milhões da KelpDAO foi um envenenamento direcionado da infraestrutura RPC de camada inferior da LayerZero DVN (Rede de Validadores Descentralizados). Os passos específicos do ataque foram: primeiro, obter a lista de nós RPC utilizados pela LayerZero DVN; em seguida, comprometer dois clusters independentes e substituir os arquivos binários op-geth; utilizar técnica de engano seletivo para retornar apenas payloads maliciosos falsificados ao DVN, enquanto fornece dados reais a outros IPs; simultaneamente, realizar um ataque DDoS nos nós RPC não comprometidos, forçando a failover do DVN para os nós envenenados. Após a validação da mensagem falsa, o binário malicioso se autodestrói e apaga os logs. Isso resultou na LayerZero DVN emitindo validação para transações que nunca ocorreram.
Análise da SlowMist revela metodologia de ataque ao KelpDAO envolvendo o LayerZero DVN
MarsBitCompartilhar
Resumo
O fundador da SlowMist, Yuxian, analisou o ataque ao KelpDAO, revelando como US$ 290 milhões foram roubados por meio do DVN da LayerZero. Os atacantes envenenaram a infraestrutura RPC, comprometeram dois clusters e substituíram o binário op-geth. Uma enganação seletiva permitiu que cargas falsificadas fossem enviadas ao DVN, enquanto dados reais eram servidos a outros IPs. Ataques DDoS forçaram a falha para nós envenenados, permitindo a validação antes que os logs fossem apagados. A análise de mercado mostra que tais explorações destacam riscos em sistemas cross-chain. Os traders devem ficar atentos às altcoins enquanto os riscos de segurança aumentam.
Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações.
Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.