LayerZero в предварительном отчете заявила, что атака, в ходе которой в выходные были похищены около 292 миллионов долларов США через мост KelpDAO, «с большой вероятностью» была осуществлена северокорейской группировкой Lazarus, в частности, ее подразделением TraderTraitor. Анализ в понедельник.
Злоумышленники похитили 116 500 rsETH (ликвидный ре-стейкинг токен, обеспеченный заложенным эфиром) через мост KelpDAO в субботу, вызвав волну выводов средств на нескольких платформах. Децентрализованные финансы Отрасль потеряла более 10 миллиардов долларов США из протоколов кредитования. Avi
LayerZero заявила, что эта атака имеет признаки «высокосложного государственного актора», скорее всего, северокорейской группы Lazarus, и особенно указала на её подразделение TraderTraitor.
Согласно сообщениям, кибероперации Северной Кореи осуществляются Главным разведывательным управлением, которое включает несколько различных подразделений, таких как TraderTraitor, AppleJeus, APT38 и DangerousPassword.Анализ автор: Samczsun, исследователь Paradigm.
Среди этих подгрупп TraderTraitor считается наиболее опытным деятелем, действующим в Северной Корее против криптовалют, и ранее был связан с компрометацией Axis Infinite Ronin Bridge и WazirX.
LayerZero заявила, что KelpDAO использует один валидатор для одобрения входящих и исходящих переводов средств через мост, и добавила, что она неоднократно призывала KelpDAO перейти на использование нескольких валидаторов.
LayerZero заявляет, что в дальнейшем перестанет одобрять сообщения от приложений, которые все еще используют эту настройку.
Единая точка отказа
Наблюдатели отметили, что эта уязвимость раскрыла, как был построен этот мост, заставив его доверять только одному валидатору.
Сооснователь криптобезопасной компании Sodot Шалев Крен заявил, что это «единственная точка отказа», независимо от того, как маркетинговый отдел это украшает.Decrypted.
Keren отметил, что компрометация одной контрольной точки достаточно для вывода средств через мост, и никакой аудит или проверка безопасности не могут устранить этот недостаток, не устранив «единоличное доверие из самой архитектуры».
Эту точку зрения разделяют другие. Хаоцэ Цю, руководитель блокчейна Grvt, считает,«Kelp DAO, похоже, приняла настройку безопасности моста, но для таких масштабов активов ее избыточность слишком низка», — и добавил, что, учитывая, что «утечка затронула инфраструктуру, связанную с их валидаторным стеком, даже если это не описывается как уязвимость в ядре протокола», LayerZero «несет ответственность».
Согласно анализу компании по кибербезопасности Cyvers, злоумышленники украли еще 100 миллионов долларов за три минуты, но были быстро занесены в черный список, что остановило их действия. Главный технолог Cyvers Мел Дореф заявил, что эта атака была основана на обмане единственного канала связи. Расшифровка.
Атакующие проникли в два канала проверки, используемых валидаторами для проверки того, действительно ли произошел вывод средств на Unichain, и ввели в эти каналы ложные ответы «да», после чего отключили остальные каналы, заставив валидаторы полагаться на скомпрометированные каналы.
«Казна в порядке. Охранники честны. Механизм запирания двери работает нормально,» — сказал Долев. «Ложь была прямо и тайно сообщена тому, кто открыл казну словами.»
Однако LayerZero, обеспечивающий инфраструктуру для моста для сброса воды, указывает, что Lazarus может быть виновником, в то время как Cyvers в своем собственном анализе не приходит к такому же выводу.
Муллев сказал, что некоторые модели соответствуют действиям Корейской Народно-Демократической Республики по сложности, масштабу и координации исполнения, но не подтверждено ни одного скопления кошельков, связанных с этой группой.
Он также добавил, что вредоносное программное обеспечение узлов было тщательно спроектировано для саморазрушения после завершения атаки, удаляя двоичные файлы и журналы, чтобы скрыть следы злоумышленников как в реальном времени, так и после инцидента.
В начале этого месяца злоумышленники вывели около 285 миллионов долларов США из протокола Drift, основанного на перпетуальных фьючерсах Solana, и в последующем эксплуатировании уязвимости приписали северокорейским агентам.
Dolev отметил, что атака на Drift «очень отличается по подготовке и выполнению», но обе атаки требовали длительной подготовки, глубоких профессиональных знаний и значительных ресурсов для успешной реализации.
Cyvers suspects the stolen funds have been transferred to this Ethereum address, alongside a separate report. Chain analysis investigator ZachXBT identified the attack address and flagged it along with four other attack addresses. The funds for these attack addresses originated from… coin mixers. According to ZachXBT, Tornado Cash is currently popular.