Post-mortem interessante, mas me deixa com mais perguntas, pois parece tão defensivo. De qualquer forma, vamos começar pelo básico. De acordo com a LZ, em 18 de abril, o grupo Lazarus da RPDC (unidade TraderTraitor) roubou US$ 290 milhões da ponte rsETH da KelpDAO. O ataque, passo a passo: ❶ O atacante encontrou a lista de nós RPC (os "olhos") que o verificador da LayerZero confia para a verdade ❷ Comprometeu 2 deles. Configurou o software malicioso para mentir apenas ao verificador, e dizer a verdade para todos os demais, para que os sistemas de monitoramento não vissem nada errado ❸ Realizou um ataque DDoS nos nós RPC honestos, deixando-os offline. O verificador fez failover para os nós envenenados ❹ O verificador recebeu uma transação falsa como se fosse real. Assinou. A ponte liberou US$ 290 milhões em rsETH que não tinham nenhum lastro ❺ O malware se autodestruiu. O binário foi apagado, os logs limpos, as configurações excluídas A LZ afirmou que a Kelp usou um único verificador (configuração 1-de-1 DVN), apesar das repetidas advertências da LayerZero. Um único verificador, um único ponto de falha, e confirma que o dano é isolado. Nenhuma contaminação a outros ativos até agora. Mas ainda tenho muitas perguntas, cmiiw: - Se 1/1 DVN era má prática, por que foi permitido ser implantado? - A infraestrutura comprometida pertence à LayerZero Labs, não à Kelp. - Como o atacante obteve a lista de RPC em primeiro lugar? - Substituir o binário em nós de produção implica em uma comprometimento de nível root. Quanto ao envenenamento de RPC: ou essa configuração vazou (o que sugere uma comprometimento anterior, não relatado da LayerZero), ou o atacante inferiu por meio de análise sofisticada de tráfego. Substituir o binário op-geth em execução em um nó RPC de produção exige uma das seguintes condições: acesso root na máquina, pipeline de implantação comprometido ou acesso interno. Qual foi? A declaração não diz. Se foi o pipeline de implantação, isso é um incidente de cadeia de suprimentos. Se foi comprometimento de credenciais, o escopo é maior do que eles estão admitindo. A declaração evita completamente essa pergunta.
Compartilhar
Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações.
Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.