Цікавий пост-мортем, але він залишає мене з більше питань, бо виглядає надто оборонно. Тим не менш, давайте спочатку розглянемо основне. Згідно з LZ, 18 квітня група Lazarus (підрозділ TraderTraitor) з Північної Кореї викрала 290 мільйонів доларів США з мосту rsETH KelpDAO. Атака крок за кроком: ❶ Атакуючий знайшов список RPC-нод («очі»), яким LayerZero довіряє для визначення істини ❷ Взяв під контроль 2 з них. Налагодив шкідливий програмний код, щоб обманювати лише верифікатор, а всім іншим показувати правду — щоб системи моніторингу не помітили нічого підозрілого ❸ Провів DDoS-атаку на чесні RPC-ноди, вивівши їх з ладу. Верифікатор переключився на заражені ноди ❹ Верифікатор отримав фальшиву транзакцію як справжню, підписав її — міст випустив 290 мільйонів доларів США rsETH, які не були забезпечені нічим ❺ Шкідливий код самознищився: бінарний файл видалено, журнали очищено, конфігурації знищені LZ заявив, що Kelp використовував лише один верифікатор (1-of-1 DVN), незважаючи на повторні попередження LayerZero. Один верифікатор — одна точка відмови, що підтверджує, що збитки ізольовані. Жодного зараження інших активів досі не зафіксовано. Але у мене все ще багато питань, cmiiw: — Якщо 1/1 DVN — це порушення стандартів, чому це взагалі було дозволено випустити? — Компрометована інфраструктура належить LayerZero Labs, а не Kelp. — Як атакуючий отримав список RPC спочатку? — Заміна бінарного файлу на продакшн-нодах передбачає компрометацію на рівні root. Щодо отруєння RPC: або ця конфігурація втекла (що свідчить про попереднє, незаявлене порушення безпеки LayerZero), або атакуючий вивчив її за допомогою складного аналізу трафіку. Заміна запущеного op-geth-бінарника на продакшн-RPC-ноді вимагає одного з наступного: root-доступу до сервера, компрометованого конвеєра розгортання або внутрішнього доступу. Що саме сталося? У заявленому тексті цього не сказано. Якщо це був компрометований конвеєр розгортання — це інцидент ланцюга постачання. Якщо це був компрометація облікових даних — масштаб проблеми ширший, ніж вони признають. Заява повністю ухиляється від цього питання.
Поділитися
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації.
Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.