Exploatering av Kelp DAO av Lazarus Group
LayerZero har meddelat att Nordkoreas Lazarus Group sannolikt är den aktör som ligger bakom exploateringen av Kelp DAO, vilken resulterade i att 116 500 rsETH, motsvarande cirka 292 miljoner dollar, stals. Företaget angav att tidiga indikatorer pekar på en ”mycket sofistikerad statlig aktör” och namngav DPRK:s Lazarus Group, mer specifikt TraderTraitor, i sitt senaste uttalande. Attacken inträffade den 18 april och blev snabbt den största DeFi-exploateringen som rapporterats hittills i år.
Angreppets Metod
LayerZero förklarade att angriparen riktade sig mot systemet som används för att verifiera meddelanden över kedjor, vilket möjliggjorde att ett falskt meddelande kunde passera och låsa upp tokens på bron. Angriparen fick tillgång till listan över RPC-noder som användes av LayerZero Labs decentraliserade verifierade nätverk (DVN). Enligt företaget förgiftade angriparen två av dessa noder så att de levererade ett falskt meddelande till verifierarnätverket. Samtidigt genomförde angriparen en DDoS-attack mot rena noder, vilket tvingade DVN att förlita sig på de förgiftade noderna. Denna kombination gjorde det möjligt för det förfalskade meddelandet att röra sig genom systemet och utlösa tokenupplåsningen som ledde till förlusten.
Konsekvenser av Attacken
LayerZero påpekade att skadan blev möjlig eftersom Kelp DAO använde en enda 1-av-1 DVN-konfiguration utan backupverifierare. Detta skapade en enda felpunkt, vilket innebar att det inte fanns någon oberoende kontroll för att avvisa det falska meddelandet innan bron släppte medel. I sitt uttalande sa LayerZero att
”drift av en konfiguration med en enda felpunkt innebar att det inte fanns någon oberoende verifierare för att fånga och avvisa ett förfalskat meddelande.”
Företaget tillade också att
”LayerZero och andra externa parter tidigare kommunicerade bästa praxis kring DVN-diversifiering till Kelp DAO.”
Reaktioner och Åtgärder
LayerZero meddelade att de inte längre kommer att signera meddelanden för applikationer som använder en 1/1 DVN-konfiguration. Exploateringen skapade oro inom DeFi-sektorn efter att angriparen flyttade det stulna rsETH till Aave V3 och använde det som säkerhet för att låna stora mängder WETH. Detta ledde till farhågor om potentiella dåliga skulder på Aave och resulterade i att protokollet frös rsETH-marknaderna på både V3 och V4. Aave-grundaren Stani Kulechov bekräftade att
”rsETH har frysts på Aave V3 och V4”
och tillade att tillgången inte längre har lånekapacitet på grund av Kelp DAO-exploateringen. Historiska data från Aavescan visade att mer än 10 miljarder dollar lämnade Aave efter attacken, vilket ledde till att det totala tillhandahållna medlen föll från 45,8 miljarder dollar till 35,7 miljarder dollar.
Efterdyningar
Efterdyningarna av attacken sträckte sig bortom Aave. Flera DeFi-protokoll, inklusive Ethena, ether.fi, Tron DAO och Curve Finance, pausade LayerZero OFT-bron som en försiktighetsåtgärd. Enligt DefiLlama-data föll det totala värdet låst i DeFi med 7% på 24 timmar, ner till cirka 86,3 miljarder dollar, från 99,5 miljarder dollar den 18 april. LayerZero meddelade att det finns ”noll smitta” för andra tillgångar eller applikationer som använder multi-DVN-konfigurationer, medan brottsbekämpande insatser för att spåra medlen fortsätter.
