LayerZero у початковому звіті зазначила, що атака, під час якої за вихідні було вкрадено приблизно 292 мільйони доларів США через мост KelpDAO, «ймовірно» була здійснена групою Lazarus з Північної Кореї, зокрема її підрозділом TraderTraitor.Аналіз у понеділок.
Зловмисники в суботу вкрали 116 500 rsETH (типу ліквідного ре-стейкінг-тікера, забезпеченого стейканим етером) з моста KelpDAO, що спричинило хвилю виведень коштів через платформи. Децентралізована фінанси Цей сектор втратив понад 10 мільярдів доларів США з протоколів позичання. 艾维
LayerZero вказує, що ця атака має ознаки «високоскладного державного суб’єкта», найімовірніше — північнокорейської групи Lazarus, зокрема її підрозділу TraderTraitor.
За повідомленнями, кібероперації Північної Кореї координуються Генеральним управлінням розвідки, яке включає кілька різних підрозділів, зокрема TraderTraitor, AppleJeus, APT38 та DangerousPassword.Аналіз автор: Samczsun, дослідник Paradigm.
У цих підгрупах TraderTraitor вважається найбільш досвідченим діячем, що діє на території Північної Кореї проти криптовалют, раніше пов’язаним з ось безкінечний самурайський міст та WazirX.
LayerZero зазначила, що KelpDAO використовувала один валідатор для схвалення надходжень і виведення коштів через міст, а також додала, що неодноразово закликала KelpDAO перейти на кілька валідаторів.
LayerZero повідомляє, що з теперішнього часу припинить схвалення будь-яких застосунків, які все ще використовують цю налаштування.
Одна точка відмови
Спостерігачі зазначили, що ця вразливість розкрила, як був побудований цей міст, що робить його залежним лише від одного верифікатора.
Саулев Крен, співзасновник крипто-безпечної компанії Sodot, сказав, що це «одна точка відмови», незалежно від того, як маркетинговий відділ це прикрашає.Декриптувати.
Keren зазначив, що одного скомпрометованого контрольного пункту достатньо, щоб кошти вийшли з мосту, і жодна аудиторська перевірка або безпекова оцінка не зможе виправити цей недолік, не видаливши «односторонньої довіри з самої архітектури».
Цю думку підтримали інші. Гаоцзе Цю, керівник блокчейну Grvt, вважає,«Kelp DAO, схоже, прийняла налаштування безпеки моста, але для таких обсягів активів рівень надлишковості занадто низький», — додавши, що з урахуванням того, що «цей витік стосується інфраструктури, пов’язаної з її валідаторами, навіть якщо це не описується як вразливість основного протоколу», LayerZero «також несе відповідальність».
За аналізом компанії з кібербезпеки Cyvers, нападники вкрадли ще 100 мільйонів доларів США за три хвилини, але їхні кошти швидко були занесені до чорного списку, що зупинило їхні дії. Головний технічний офіцер Cyvers Мель Дорелев зазначив, що ця атака була заснована на обмані одного каналу зв’язку.Розшифрувати
Зловмисник проник у дві лінії перевірки, які використовувалися для перевірки, чи дійсно відбулися виведення коштів на Unichain, ввівши в них хибні значення «так», а потім відключив решту ліній, змусивши вузол перевірки покладатися на скомпрометовані лінії.
«Каса в порядку. Охоронці чесні. Механізм замків працює нормально,» — сказав Долєв. «Брехня була прямо таємно сказана тій особі, яка відкрила касу словами.»
Однак LayerZero, який забезпечує інфраструктуру для моста для скидання води, вказує, що Lazarus може бути винним, тоді як Cyvers у своєму аналізі не прийшов до того ж висновку.
Долів сказав, що деякі шаблони відповідають за складністю, масштабом та координацією виконання діям Північної Кореї, але не було підтверджено жодного гаманця, пов’язаного з цією групою.
Він також додав, що зловмисне програмне забезпечення вузлів було ретельно розроблене, щоб самостійно видалитися після завершення атаки, очистивши бінарні файли та журнали, тим самим приховавши сліди атакувальника в реальному часі та після атаки.
На початку цього місяця злоумисники вивели приблизно 285 мільйонів доларів США з протоколу Drift, що базується на перпетуальних контрактах Solana, а в подальшому використанні вразливості приписуються північнокорейським агентам.
Долев зазначив, що атака на Drift «дуже відрізняється за підготовкою та виконанням», але обидві атаки вимагали тривалого часу на підготовку, глибоких професійних знань та великої кількості ресурсів для успішного здійснення.
Siferse підозрює, що вкрадені кошти були переведені на цей адресу Ethereum, а окремий звіт від ланцюгового дослідника ZachXBT виявив адресу атаки та позначив її разом із ще чотирма адресами атаки. Джерелом коштів на цих атакуючих адресах є… монетні змішувачі. За повідомленням ZachXBT, Tornado Cash зараз у величезному попиті.