Интересный пост-мортем, но он оставляет меня с еще большими вопросами, поскольку выглядит слишком оборонительно. В любом случае, давайте начнем с основ. Согласно LZ, 18 апреля группа Lazarus (подразделение TraderTraitor) из КНДР похитила 290 млн долларов США через мост rsETH KelpDAO. Атака по шагам: ❶ Атакующий получил список RPC-нод («глаза»), которым доверяет верификатор LayerZero для определения истины ❷ Взломал две из них. Загрузил вредоносное ПО, которое лжет только верификатору, но говорит правду всем остальным, чтобы системы мониторинга не заметили ничего подозрительного ❸ Провел DDoS-атаку на честные RPC-ноды, выведя их из строя. Верификатор переключился на зараженные ноды ❹ Верификатор получил фальшивую транзакцию как настоящую, подписал ее, и мост выпустил 290 млн долларов США в виде rsETH, не обеспеченных ничем ❺ Вредоносное ПО самоуничтожилось: бинарный файл удален, логи стерты, конфигурации удалены LZ утверждает, что Kelp использовал единственный верификатор (настройку 1 из 1 DVN), несмотря на многократные предупреждения LayerZero. Один верификатор — одна точка отказа, и подтверждает, что ущерб изолирован. Пока никакого заражения других активов не зафиксировано. Но у меня все еще много вопросов, поправьте меня, если я ошибаюсь: — Если использование 1/1 DVN было халатностью, почему его вообще разрешили запустить? — Компрометированная инфраструктура принадлежит LayerZero Labs, а не Kelp. — Как атакующий получил список RPC-нод в первую очередь? — Замена бинарного файла на рабочих нодах предполагает компрометацию на уровне root. Что касается отравления RPC: либо эта конфигурация была утекшей (что указывает на предыдущее, необъявленное нарушение безопасности LayerZero), либо атакующий вывел ее с помощью сложного анализа трафика. Замена работающего бинарного файла op-geth на рабочей RPC-ноде требует одного из следующего: root-доступа к серверу, скомпрометированной конвейерной системы развертывания или доступа внутреннего сотрудника. Что именно произошло? В заявлении этого не сказано. Если это был конвейер развертывания — это инцидент цепочки поставок. Если это компрометация учетных данных — масштаб угрозы шире, чем они признают. Заявление полностью уходит от этого вопроса.
Поделиться
Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации.
Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.