BlockBeats повідомляє, 20 травня LayerZero опублікувала звіт про атаку на rsETH: міст rsETH KelpDAO, побудований на основі міжланцюгового протоколу повідомлень LayerZero, був атакований 18 квітня, внаслідок чого було вкрадено близько 116 500 rsETH (на суму приблизно 292 мільйони доларів США). Кілька безпекових агентств віднесли цю атаку до північнокорейської хакерської групи TraderTraitor (UNC4899). Атака не вплинула на сам протокол LayerZero чи інші OApp, а була спрямована виключно на міст з однією верифікаторною конфігурацією KelpDAO.
Атака розпочалася 6 березня, коли нападники за допомогою соціальної інженерії отримали сесійні ключі розробників LayerZero Labs, проникли в їхнє RPC-хмарне середовище та заражили внутрішні RPC-вузли. Ці вузли були оснащені патчами в пам’яті, які повертали нормальні відповіді моніторинговим інструментам, але надавали спотворену інформацію про стан блокчейну LayerZero Labs DVN (децентралізованій мережі верифікаторів). Потім нападники здійснили атаку типу DoS на зовнішніх постачальників RPC, змусивши DVN залежати виключно від скомпрометованих внутрішніх вузлів і, нарешті, згенерувати дійсні докази для підроблених міжланцюгових повідомлень. Оскільки KelpDAO використовує конфігурацію з одним верифікатором, цільовий контракт прийняв єдиний доказ і розблокував rsETH.
Після інциденту LayerZero Labs вжили ряд заходів:
Змінити оперативну позицію та вимагати, щоб канали, у яких бере участь DVN, відповідали мінімальним вимогам безпеки (відмовитися від використання як єдиного підписуючого вузла);
Повна реконструкція пошкодженої інфраструктури з використанням архітектури нульової довіри та механізмів миттєвого підвищення прав доступу;
Співпраця з екосистемними партнерами для постійного підсилення безпекових налаштувань. Разом із правоохоронними органами та безпековими компаніями проводяться розслідування, встановлення походження та відстеження коштів.