LayerZero trong một báo cáo sơ bộ cho biết, cuộc tấn công đánh cắp khoảng 292 triệu USD từ cầu liên chuỗi KelpDAO vào cuối tuần “rất có thể” do nhóm Lazarus của Triều Tiên, đặc biệt là bộ phận con TraderTraitor, thực hiện.Phân tích thứ Hai.
Vào thứ Bảy, kẻ tấn công đã đánh cắp 116.500 rsETH (một loại token tái质押 lưu động được hỗ trợ bởi ETH đã质押) từ cầu KelpDAO, gây ra làn sóng rút tiền trên nhiều nền tảng. Định tài phi tập trung Ngành này hút hơn 10 tỷ USD vốn từ các giao thức vay mượn. Avi
LayerZero cho biết cuộc tấn công này có đặc điểm của “các thực thể hành động nhà nước có độ phức tạp cao”, rất có thể là nhóm Lazarus của Triều Tiên, và đặc biệt chỉ ra rằng đây là bộ phận con TraderTraitor của nhóm này.
Theo báo cáo, các hoạt động mạng của Triều Tiên do Tổng cục Thám báo phụ trách, cơ quan này bao gồm nhiều bộ phận khác nhau, bao gồm TraderTraitor, AppleJeus, APT38 và DangerousPassword.Phân tích Tác giả: Samczsun, nghiên cứu viên của Paradigm.
Trong các tổ chức con này, TraderTraitor được coi là tác nhân tinh vi nhất tại Triều Tiên nhắm vào tiền mã hóa, trước đây từng có liên quan đến Trục Vô Hạn Lang Nhân Cầu và WazirX.
LayerZero cho biết, KelpDAO đã sử dụng một trình xác thực duy nhất để phê duyệt dòng tiền vào và ra khỏi cầu, đồng thời bổ sung rằng họ đã nhiều lần khuyến nghị KelpDAO chuyển sang sử dụng nhiều trình xác thực.
LayerZero cho biết sẽ ngừng phê duyệt bất kỳ thông báo nào từ các ứng dụng vẫn đang chạy cài đặt này.
Single point of failure
Các chuyên gia nhận định rằng lỗ hổng này phơi bày cách cầu nối được xây dựng, khiến nó chỉ tin tưởng một người xác thực.
Sodot的联合创始人Shalev Keren表示,无论营销部门如何美化,这都是“一个单点故障”。解密
Keren cho biết, một điểm kiểm tra bị xâm nhập là đủ để khiến vốn rời khỏi cầu, bất kỳ cuộc kiểm toán hoặc đánh giá bảo mật nào cũng không thể khắc phục lỗi này mà không cần “loại bỏ sự tin tưởng một chiều từ chính kiến trúc”.
Quan điểm này được những người khác đồng tình. Haoze Qiu, người đứng đầu chuỗi khối Grvt, cho rằng,“Kelp DAO dường như đã chấp nhận một thiết lập bảo mật cầu nối, nhưng mức độ dư thừa này quá thấp đối với khối lượng tài sản lớn như vậy,” và bổ sung rằng, do “sự rò rỉ này liên quan đến cơ sở hạ tầng liên quan đến chồng bộ xác thực của nó, ngay cả khi điều này không được mô tả là lỗ hổng giao thức cốt lõi,” LayerZero “cũng chịu trách nhiệm.”
Theo phân tích của công ty an ninh blockchain Cyvers, kẻ tấn công đã đánh cắp thêm 100 triệu USD trong vòng ba phút, nhưng sau đó nhanh chóng bị đưa vào danh sách đen, ngăn chặn hành động của chúng. Ông Mel Dolev, CTO của Cyvers, cho biết cuộc tấn công này được thực hiện dựa trên việc lừa đảo một kênh giao tiếp duy nhất. Giải mã.
Kẻ tấn công đã xâm nhập vào hai đường dẫn mà bộ xác thực sử dụng để kiểm tra xem việc rút tiền có thực sự xảy ra trên Unichain hay không, nhập vào cả hai đường dẫn này giá trị “có” giả mạo, sau đó tắt các đường dẫn còn lại, buộc bộ xác thực phải dựa vào các đường dẫn bị xâm nhập.
“Kho vàng không có vấn đề gì. Bảo vệ rất trung thực. Cơ chế khóa cửa cũng hoạt động bình thường,” Dolgov nói. “Lời nói dối được tiết lộ trực tiếp với người dùng lời nói để mở kho vàng.”
Tuy nhiên, LayerZero, nền tảng cung cấp cơ sở hạ tầng cho cầu xả lũ, cho rằng Lazarus có thể là thủ phạm, trong khi Cyvers không đưa ra kết luận tương tự trong phân tích của mình.
Đa Liêp cho biết, một số mô hình phù hợp với các hành động của Cộng hòa Dân chủ Nhân dân Triều Tiên về mức độ phức tạp, quy mô và sự phối hợp thực thi, nhưng chưa có bằng chứng xác thực nào về các ví tiền điện tử liên quan đến nhóm này.
Anh ấy còn bổ sung rằng phần mềm nút độc hại được thiết kế tinh vi, tự xóa chính nó sau khi cuộc tấn công kết thúc, xóa sạch các tệp nhị phân và nhật ký, từ đó che giấu dấu vết của kẻ tấn công cả trong thời gian thực lẫn sau sự việc.
Đầu tháng này, kẻ tấn công đã khai thác khoảng 285 triệu USD từ các hợp đồng hoán đổi dựa trên Solana của giao thức Drift, và trong vụ khai thác tiếp theo, các chuyên gia đã gán trách nhiệm cho điệp viên Triều Tiên.
Dolev chỉ ra rằng cuộc tấn công của Drift “rất khác biệt về mặt chuẩn bị và thực thi”, nhưng cả hai cuộc tấn công đều đòi hỏi thời gian chuẩn bị dài, kiến thức chuyên môn sâu rộng và nguồn lực lớn để thực hiện thành công.
Cyvers nghi ngờ số tiền bị đánh cắp đã được chuyển đến địa chỉ Ethereum này, và nhà điều tra chuỗi ZachXBT đã phát hiện ra địa chỉ tấn công này và đánh dấu nó cùng với bốn địa chỉ tấn công khác. Nguồn vốn của các địa chỉ tấn công này là... coin mixer, theo báo cáo của ZachXBT, Tornado Cash đang rất được ưa chuộng.