Сообщение BlockBeats, 20 мая: LayerZero опубликовала отчет о инциденте атаки на rsETH: мост rsETH KelpDAO, построенный на основе межцепочечного протокола LayerZero, был атакован 18 апреля, в результате чего было похищено около 116 500 rsETH (на сумму около 292 миллионов долларов США). Несколько безопасностных организаций приписали эту атаку северокорейской хакерской группировке TraderTraitor (UNC4899). Атака не затронула сам протокол LayerZero или другие OApp, а была направлена исключительно на мост с одиночным валидатором KelpDAO.
Атака началась 6 марта, когда злоумышленники с помощью социальной инженерии получили сессионные ключи разработчиков LayerZero Labs, проникли в их RPC-облачную среду и заразили внутренние RPC-узлы. Эти узлы были модифицированы в памяти так, чтобы возвращать нормальные ответы мониторинговым инструментам, но предоставлять искаженную информацию о состоянии блокчейна сети DVN LayerZero Labs (децентрализованная сеть валидаторов). Затем злоумышленники провели атаку типа DoS против внешних провайдеров RPC, вынудив DVN полагаться исключительно на скомпрометированные внутренние узлы, что позволило сгенерировать действительные доказательства для поддельных межцепочечных сообщений. Поскольку KelpDAO использует конфигурацию с одним валидатором, целевой контракт принял единственное доказательство и разблокировал rsETH.
После инцидента LayerZero Labs предприняла ряд мер:
Изменить операционную позицию и требовать, чтобы каналы, участвующие в DVN, соответствовали минимальным требованиям безопасности (отказаться от использования в качестве единственного валидатора для подписи);
Полная реконструкция затронутой инфраструктуры с использованием архитектуры нулевого доверия и механизма мгновенного повышения прав доступа;
Сотрудничая с экосистемными партнерами, мы постоянно улучшаем настройки безопасности. Одновременно мы взаимодействуем с правоохранительными органами и компаниями по безопасности для расследования, определения источника и отслеживания средств.