LayerZero, hafta sonu boyunca KelpDAO köprüsünden yaklaşık 292 milyon doların çalındığı saldırının "muhtemelen" Kuzey Koreli Lazarus grubunun, özellikle TraderTraitor alt biriminin işi olduğunu belirtti.Analiz Pazartesi.
Salı günü, saldırganlar KelpDAO köprüsünden 116.500 rsETH (kilitli Ethereum ile desteklenen bir likidite yeniden质押 tokenu) çaldı ve çoklu platformlarda çekim dalgasına neden oldu. DeFi sektörü çek 10 milyar doların üzerinde kredi protokolü fonlarını Avax.
LayerZero, bu saldırıların "yüksek derecede karmaşık devlet aktörlerinin" izlerini taşıdığını ve muhtemelen Kuzey Kore'ye ait Lazarus grubu olduğunu, özellikle bu grubun TraderTraitor alt birimini işaret etti.
Raporlara göre, Kuzey Kore'nin ağ operasyonları İstihbarat Genel Dairesi tarafından yürütülüyor ve bu daire, TraderTraitor, AppleJeus, APT38 ve DangerousPassword gibi çeşitli birimlere sahip.Analiz Yazar: Paradigm Araştırmacısı Samczsun.
Bu alt organizasyonlar arasında, TraderTraitor, Kuzey Kore içinde kripto para üzerine en yetkin aktör olarak kabul edilir ve daha önce 轴无限浪人桥 ve WazirX ile ilişkili olmuştur.
LayerZero, KelpDAO'nun köprüleme fonlarının girişi ve çıkışı için tek bir doğrulayıcı kullandığını belirtti ve KelpDAO'ya birden fazla doğrulayıcıya geçme konusunda多次 teşvikte bulunduğunu ekledi.
LayerZero, bu ayarın hâlâ aktif olduğu uygulamaların onayını artık durduracağını duyurdu.
Tek nokta arızası
Gözlemciler, bu açıklığın, köprücünün yalnızca bir doğrulayıcıya güvenmesini sağlayan nasıl yapılandırıldığını ortaya çıkardığını belirtti.
Sodot'un kurucu ortağı Şalev Kren, pazarlama departmanının ne kadar süsleme yaparsa yapsın, bunun bir "tek bir hata noktası" olduğunu söylüyor.Deşifre.
Keren, bir kırılmış kontrol noktası yeterince para köprüden ayrılmasına neden olabilir ve bu eksiklik, "yapının kendisinden tek taraflı güvenceyi kaldırmadan" herhangi bir denetim veya güvenlik incelemesiyle düzeltilmez.
Bu görüş diğerlerince desteklenmektedir. Grvt blok zinciri sorumlusu Haoze Qiu, “Kelp DAO, bir köprü güvenlik ayarını kabul etmiş gibi görünüyor, ancak bu kadar büyük bir varlık için bu kadar düşük bir fazlalık sunuyor,” diyerek, “bu sızıntının, temel protokol açığı olarak tanımlanmasa da, doğrulayıcı yığınıyla ilgili altyapıyı etkilediğini göz önünde bulundurarak, LayerZero’nun da sorumlu olduğunu” eklemiştir.
Blockchain güvenlik şirketi Cyvers'in analizine göre, saldırganlar üç dakika içinde ek 100 milyon doları çaldı, ancak ardından hemen siyah listeye alındı ve eylemleri engellendi. Cyvers'in baş teknoloji officer'ı Mel Dorev, bu eylemin tek bir iletişim kanalını kandırarak başlatıldığını belirtti. 解密
Saldırgan, Unichain üzerinde gerçek bir çekim olup olmadığını kontrol etmek için kullanılan iki bağlantıya sahte "evet" girdileri gönderdi ve kalan bağlantıları çevrimdışı bıraktı, böylece doğrulayıcıyı sadece işgal edilmiş bağlantılarla çalışmak zorunda bıraktı.
“Kasayı sorun yok. Güvenlik görevlisi dürüst. Kapı kilit mekanizması da normal,” dedi Dolgov. “Yalan, kasayı sözlü olarak açan kişiye doğrudan fısıldandı.”
Ancak sel sularını dağıtmak için köprülerin altyapısını sağlayan LayerZero, Lazarus'un sorumlu olabileceğini belirtirken, Cyvers kendi analizinde aynı sonuca varmadı.
Dolgov, Kuzey Kore'nin eylemleriyle karmaşıklık, ölçek ve koordineli yürütme açısından uyum gösteren bazı desenler olduğunu, ancak bu grupla ilişkili herhangi bir cüzdan'ın kümelenmiş bulaşması doğrulanmadığını söyledi.
Ayrıca, kötü niyetli düğüm yazılımının, saldırı sona erdikten sonra kendini silerek ikili dosyaları ve günlükleri temizleyerek, gerçek zamanlı ve sonrası saldırı izlerini gizlemek üzere dikkatle tasarlandığını ekledi.
Bu ayın başlarında, saldırganlar drain yaklaşık 285 milyon dolarlık Solana tabanlı süresiz sözleşmeler protokolü Drift’i ve daha sonraki bir zafiyet istismarında attributed to Kuzey Kore ajanlarına.
Dolev, Drift hırsızlığının "hazırlık ve uygulama yönünden çok farklı" olduğunu belirtti, ancak her iki saldırı da başarılı bir şekilde gerçekleştirmek için uzun hazırlık süresi, derin uzmanlık ve büyük kaynaklara ihtiyaç duymuştur.
Sefers, çalınan fonların bu Ethereum adresine aktarıldığını şüpheliyor; ayrıca ayrı bir rapora göre zincir üzerindeki araştırmacı ZachXBT, bu saldırı adresini ve diğer dört saldırı adresini tespit edip işaretlemiş. Bu saldırı adreslerinin fon kaynakları… madeni para karıştırıcıları. ZachXBT'e göre Tornado Cash çok popüler.