LayerZero ระบุในรายงานเบื้องต้นว่า การโจมตีที่ขโมยเงินประมาณ 292 ล้านดอลลาร์สหรัฐจากสะพานข้ามสายของ KelpDAO ในช่วงสุดสัปดาห์ “มีแนวโน้มสูง” ว่าเป็นกลุ่ม Lazarus ของเกาหลีเหนือ โดยเฉพาะหน่วยย่อย TraderTraitor วิเคราะห์ เมื่อวันจันทร์
ผู้โจมตีได้ขโมย rsETH จำนวน 116,500 หน่วย (โทเค็นการรีเพย์เมนต์ด้วยสภาพคล่องที่ได้รับการสนับสนุนจาก ETH ที่ถูกฝัง) จากสะพาน KelpDAO เมื่อวันเสาร์ ทำให้เกิดกระแสการถอนเงินข้ามแพลตฟอร์ม การเงินแบบกระจายศูนย์ อุตสาหกรรมนี้ดึงเงินทุนจากโปรโตคอลกู้ยืมเกิน 10,000 ล้านดอลลาร์สหรัฐ 艾维
LayerZero ระบุว่าการโจมตีครั้งนี้มีลักษณะของผู้กระทำที่เป็นหน่วยงานของรัฐที่ซับซ้อนสูง น่าจะเป็นกลุ่ม Lazarus จากเกาหลีเหนือ โดยเฉพาะอย่างยิ่งหน่วยย่อย TraderTraitor ของกลุ่มนี้
รายงานว่ากิจกรรมไซเบอร์ของเกาหลีเหนือได้รับการดูแลโดยสำนักงานข่าวกรอง ซึ่งมีหน่วยงานย่อยหลายแห่ง รวมถึง TraderTraitor, AppleJeus, APT38 และ DangerousPassword.การวิเคราะห์ผู้เขียน: Samczsun นักวิจัยจาก Paradigm
ในองค์กรย่อยเหล่านี้ TraderTraitor ถือเป็นผู้ดำเนินการที่เชี่ยวชาญที่สุดภายในเกาหลีเหนือที่มุ่งเป้าไปที่สกุลเงินดิจิทัล และเคยเกี่ยวข้องกับ 轴无限浪人桥 และ WazirX
LayerZero ระบุว่า KelpDAO ใช้ตัวตรวจสอบเดียวในการอนุมัติการไหลเข้าและไหลออกของทุนผ่านสะพาน และเสริมว่าพวกเขาเคยขอให้ KelpDAO เปลี่ยนไปใช้ตัวตรวจสอบหลายตัวหลายครั้ง
LayerZero ระบุว่า จะหยุดการอนุมัติข้อความจากแอปพลิเคชันใดๆ ที่ยังคงใช้การตั้งค่านี้อยู่
จุดล้มเหลวแบบจุดเดียว
ผู้สังเกตการณ์ระบุว่าช่องโหว่นี้เปิดเผยถึงวิธีการสร้างบริดจ์นี้ ซึ่งทำให้เชื่อถือผู้ตรวจสอบเพียงรายเดียว
ซาเลฟ ครีน ผู้ร่วมก่อตั้งบริษัทความปลอดภัยทางไซเบอร์ Sodot กล่าวว่า ไม่ว่าแผนกการตลาดจะปกปิดอย่างไร ก็เป็น “จุดล้มเหลวเพียงจุดเดียว” 解密
Keren กล่าวว่า จุดตรวจสอบที่ถูกโจมตีเพียงจุดเดียวก็เพียงพอที่จะทำให้เงินทุนออกจากสะพาน และการตรวจสอบหรือการทบทวนด้านความปลอดภัยใดๆ ก็ไม่สามารถแก้ไขข้อบกพร่องนี้ได้ โดยไม่ต้อง “กำจัดความเชื่อแบบฝ่ายเดียวออกจากโครงสร้างพื้นฐาน”
ความเห็นนี้ได้รับการสนับสนุนจากผู้อื่น ฮาโอเจ๋อ ชิว หัวหน้าของบล็อกเชน Grvt มองว่า“Kelp DAO ดูเหมือนจะยอมรับการตั้งค่าความปลอดภัยของสะพาน แต่สำหรับสินทรัพย์ในขนาดเช่นนี้ ความซ้ำซ้อนต่ำเกินไป” และเสริมว่า เนื่องจาก “การรั่วไหลครั้งนี้เกี่ยวข้องกับโครงสร้างพื้นฐานที่เกี่ยวข้องกับเวอร์ชิฟายเออร์สแต็คของมัน แม้ว่าจะไม่ได้ถูกอธิบายว่าเป็นช่องโหว่ของโปรโตคอลหลัก” LayerZero “ก็มีความรับผิดชอบ”
ตามการวิเคราะห์ของบริษัทความปลอดภัยบล็อกเชน Cyvers ผู้โจมตีได้ขโมยเงินอีก 100 ล้านดอลลาร์สหรัฐภายในเวลาเพียงสามนาที แต่จากนั้นก็ถูกใส่ลงในรายการแบล็กลิสต์อย่างรวดเร็วเพื่อหยุดยั้งการกระทำของพวกเขา เมล โดเลฟ หัวหน้าเจ้าหน้าที่เทคโนโลยีของ Cyvers กล่าวว่า การโจมตีครั้งนี้เกิดขึ้นจากกลยุทธ์หลอกลวงช่องทางการสื่อสารเดียว 解密
ผู้โจมตีบุกเข้าไปในตัวตรวจสอบที่ใช้ตรวจสอบว่ามีการถอนเงินจริงบน Unichain หรือไม่ผ่านสองเส้นทาง แล้วส่งข้อมูลเท็จว่า “ใช่” ไปยังเส้นทางเหล่านั้น และปิดเส้นทางที่เหลือ ทำให้ตัวตรวจสอบต้องพึ่งพาเส้นทางที่ถูกบุกเข้าไป
“คลังเงินไม่มีปัญหา ผู้คุมความปลอดภัยซื่อสัตย์ และกลไกการล็อกประตูก็ทำงานปกติ” โดเรฟกล่าว “คำโกหกถูกบอกอย่างเงียบๆ โดยตรงกับคนที่ใช้ถ้อยคำเปิดคลังเงิน”
แต่ LayerZero ซึ่งให้โครงสร้างพื้นฐานแก่สะพานระบายความเสี่ยง ชี้ว่า Lazarus อาจเป็นผู้กระทำผิด ขณะที่ Cyvers ในการวิเคราะห์ของตนเองกลับไม่ได้สรุปเช่นเดียวกัน
โดลฟกล่าวว่า รูปแบบบางอย่างมีความซับซ้อน ขนาด และการดำเนินการที่สอดคล้องกับการกระทำของสาธารณรัฐประชาธิปไตยประชาชนเกาหลี แต่ยังไม่มีการยืนยันว่ามีกระเป๋าเงินใดที่เกี่ยวข้องกับกลุ่มนี้
เขายังเสริมว่า ซอฟต์แวร์โหนดที่เป็นอันตรายถูกออกแบบมาอย่างรอบคอบ เพื่อลบตัวเองออกโดยอัตโนมัติหลังจากการโจมตีสิ้นสุดลง พร้อมล้างไฟล์ไบนารีและล็อก เพื่อซ่อนร่องรอยของผู้โจมตีทั้งในเวลาจริงและหลังเหตุการณ์
เมื่อต้นเดือนนี้ ผู้โจมตีระบายทรัพย์สินประมาณ 285 ล้านดอลลาร์สหรัฐจากโปรโตคอล Drift ที่อิงกับสัญญาฟิวเจอร์สแบบถาวรบนSolana และในการโจมตีครั้งต่อมาถูกกำหนดให้เป็นเจ้าหน้าที่จากเกาหลีเหนือ
โดเลฟชี้ให้เห็นว่า การโจมตีของ Drift “มีความแตกต่างอย่างมากในด้านการเตรียมการและการดำเนินการ” แต่การโจมตีทั้งสองครั้งต้องใช้เวลาเตรียมการที่ยาวนาน ความเชี่ยวชาญที่ลึกซึ้ง และทรัพยากรจำนวนมากเพื่อให้ประสบความสำเร็จ
Cyvers สงสัยว่าเงินที่ถูกขโมยถูกโอนไปยัง ที่อยู่ Ethereum นี้ พร้อมกับ รายงาน ที่นักวิเคราะห์บนโซ่ ZachXBT พบที่อยู่การโจมตีดังกล่าวและระบุไว้ร่วมกับที่อยู่การโจมตีอีกสี่แห่ง แหล่งที่มาของเงินในที่อยู่การโจมตีเหล่านี้คือ... เครื่องผสมเหรียญ ตามรายงานของ ZachXBT Tornado Cash กำลังได้รับความนิยม