- дата публікації
LayerZero звинувачує у налаштуванні Kelp у злочині на 290 мільйонів доларів та приписує його північнокорейській групі Lazarus.
- джерело
- сайт
- www.coindesk.com
- відкрити джерело
LayerZero поклало відповідальність за експлуатацію Kelp DAO на конфігурацію безпеки самого Kelp, зазначивши, що протокол реінвестування ліквідності працював на базі одного верифікатора, про що LayerZero раніше попереджала.
Атака використовувала новий вектор, націлений на інфраструктурний рівень, а не на код протоколу. Згідно з попередніми висновками LayerZero, нападників можна віднести до Північнокорейської групи Lazarus і її підгрупи TraderTraitor, які стали причиною компрометації двох RPC-вузлів, на які залежав верифікатор LayerZero для підтвердження міжланцюгових транзакцій. Атакуючи, зловмисники замінили програмне забезпечення на двох з цих вузлів на шкідливі версії, які сповіщали верифікатор LayerZero про фальшиву транзакцію, продовжуючи при цьому відправляти точні дані всім іншим системам, які запитували ті ж вузли.
Таке вибіркове обманювання було спроектоване для того, щоб зберегти напад невидимим для системи контролю LayerZero. Однак компрометація двох вузлів була недостатньою.
LayerZero також запитував верифіковані зовнішні RPC-вузли, тому зловмисники здійснили атаку відмови в обслуговуванні на них, щоб примусити перехід на заражені вузли.
Логи трафіку, надані LayerZero, свідчать про те, що DDoS-атака відбувалася з 10:20 до 11:40 за тихоокеанським часом у суботу.
Як тільки стався перехід, компрометовані вузли повідомили верифікатору про надійду дійсного міжланцюгового повідомлення, внаслідок чого міст Kelp випустив 116,500 rsETH для нападників. LayerZero підтвердило, що у цій атаці не було зараження інших застосунків, і кожен токен стандарту OFT, який працює на багатоверефікаторних налаштуваннях, залишився неушкодженим.
Верифікатор LayerZero Labs відновив роботу, і компанія заявила, що не підписуватиме повідомлення для будь-якого застосунку, що працює в конфігурації 1 з 1, що зобов'язує провести міграцію на багатоверефікаторні налаштування. Kelp ще не відповів публічно на позицію LayerZero та не пояснив, чому обрав налаштування 1/1, незважаючи на явні рекомендації проти цього.
Група Lazarus пов'язана з експлуатацією Drift Protocol 1 квітня і Kelp 18 квітня, що означає, що той самий північнокорейський підрозділ завдав збитків на понад 575 мільйонів доларів за 18 днів через два структурно різні вектори атак.
Група адаптує свою стратегію швидше, ніж DeFi протоколи зміцнюють свої захисти.