LayerZero 在一份初步報告中表示,週末期間從 KelpDAO 跨鏈橋竊取約 2.92 億美元的攻擊「很可能」是朝鮮 Lazarus 集團,特別是其 TraderTraitor 子部門所為。分析週一。
攻擊者於週六從 KelpDAO 橋上竊取了 116,500 個 rsETH(一種由質押的以太幣支持的流動性再質押代幣),引發了跨平台的提款潮。去中心化金融該行業拉超過 100 億美元的貸款協議資金流出艾維
LayerZero 表示,此次攻擊具有「高度複雜的國家行為體」的特徵,很可能是朝鮮的拉撒路集團,並特別指出是該集團的 TraderTraitor 子部門。
據報導,朝鮮的網絡行動由偵察總局負責,該局下轄多個不同的部門,包括 TraderTraitor、AppleJeus、APT38 和 DangerousPassword。分析作者:Paradigm 研究員 Samczsun。
在這些子組織中,TraderTraitor 被認為是朝鮮境內針對加密貨幣的最老練的行動者,此前曾與 軸無限浪人橋 和 WazirX 妥協。
LayerZero 表示,KelpDAO 使用了單個驗證器來批准橋接資金的流入和流出,並補充說,它曾多次敦促 KelpDAO 改用多個驗證器。
LayerZero 表示,今后將停止批准任何仍在運行該設置的應用程序的消息。
單點故障
觀察人士稱,此次漏洞暴露了該橋接器是如何構建的,使其只信任一個驗證者。
加密安全公司 Sodot 的聯合創始人沙萊夫·克倫表示,無論市場部門如何粉飾,這都是「一個單點故障」。解密
Keren 表示,一個被攻破的檢查點就足以讓資金離開橋樑,任何審計或安全審查都無法在不「從架構本身消除單方面信任」的情況下修復這一缺陷。
這種觀點得到了其他人的贊同。Grvt 區塊鏈負責人 Haoze Qiu 認為,“Kelp DAO 似乎接受了一種橋接安全設置,但對於如此規模的資產而言,其冗餘度太低,”並補充說,鑒於“此次洩露涉及與其驗證器堆棧相關的基礎設施,即使這沒有被描述為核心協議漏洞”,LayerZero “也負有責任”。
根據區塊鏈安全公司 Cyvers 的分析,攻擊者在短短三分鐘內竊取了另外 1 億美元,但隨後迅速被列入黑名單,阻止了他們的行動。Cyvers 首席技術官梅爾·多列夫表示,此次行動是基於欺騙單一通信渠道而發起的。解密
攻擊者入侵了用於檢查 Unichain 上是否真的發生提現的兩條線路,向這兩條線路輸入了虛假的「是」,然後將其餘線路離線,迫使驗證器依賴於被入侵的線路。
「金庫沒問題,保安很誠實,門鎖機制也正常,」多列夫說。「謊言是直接悄悄告訴了那個用言語打開金庫的人。」
但為洩洪橋樑提供基礎設施的 LayerZero 指出 Lazarus 可能是罪魁禍首,而 Cyvers 在自己的分析中卻沒有得出同樣的結論。
多列夫表示,某些模式在複雜程度、規模和協調執行方面與朝鮮民主主義人民共和國的行動相符,但尚未證實有與該群體相關的錢包聚集性感染。
他還補充說,惡意節點軟體經過精心設計,一旦攻擊結束就會自行刪除,清除二進制文件和日誌,從而在實時和事後掩蓋攻擊者的蹤跡。
本月初,攻擊者排水大約2.85億美元Solana基於永續合約的協議 Drift,後續的漏洞利用被歸因於朝鮮特工。
Dolev 指出,Drift 黑客攻擊「在準備和執行方面非常不同」,但這兩次攻擊都需要較長的準備時間、深厚的专业知識和大量的資源才能成功實施。
賽弗斯懷疑被盗資金已被轉移到這個以太坊地址,與單獨的報告中,鏈上調查員 ZachXBT 發現了該攻擊地址,並將其與另外四個攻擊地址一併標記。這些攻擊地址的資金來源是……硬幣攪拌器。據 ZachXBT 報道,Tornado Cash 正在熱賣。