Utnyttelse av Kelp DAO av Lazarus Group
LayerZero har uttalt at Nord-Koreas Lazarus Group sannsynligvis er aktøren bak Kelp DAO-utnyttelsen, som resulterte i tap av 116 500 rsETH, verdt omtrent 292 millioner dollar. Selskapet opplyste at tidlige indikatorer peker mot en «svært sofistikert statlig aktør» og navnga DPRKs Lazarus Group, mer spesifikt TraderTraitor i sin nyeste uttalelse.
Angrepet og dets konsekvenser
Angrepet fant sted 18. april og ble raskt den største DeFi-utnyttelsen rapportert i år. LayerZero forklarte at angriperen målrettet systemet som brukes til å verifisere krysskjede-meldinger, noe som tillot en falsk melding å passere gjennom og låse opp tokens på broen.
Angriperen fikk tilgang til listen over RPC-noder som ble brukt av LayerZero Labs» desentraliserte verifiserte nettverk (DVN). Ifølge selskapet forgiftet angriperen deretter to av disse nodene, slik at de leverte en falsk krysskjede-melding til verifiseringsnettverket. Samtidig lanserte angriperen et DDoS-angrep mot rene noder, noe som fikk DVN til å stole på de forgiftede nodene.
LayerZero forklarte at denne kombinasjonen tillot den forfalskede meldingen å bevege seg gjennom systemet og utløse token-låsingen som førte til tapet. I tillegg bemerket LayerZero at skaden ble mulig fordi Kelp DAO benyttet en enkelt 1-av-1 DVN-oppsett uten backup-verifiserer. Selskapet påpekte at dette skapte et enkelt feilpunkt, uten uavhengig sjekk for å avvise den falske meldingen før broen frigjorde midler.
«Drift av en konfigurasjon med enkelt feilpunkt betydde at det ikke var noen uavhengig verifiserer for å fange og avvise en forfalsket melding.»
Det ble også nevnt at «LayerZero og andre eksterne parter tidligere hadde kommunisert beste praksis rundt DVN-diversifisering til Kelp DAO.» Selskapet la til at det ikke lenger vil signere meldinger for applikasjoner som bruker et 1/1 DVN-oppsett.
Reaksjoner i DeFi-markedet
Utnyttelsen skapte stress i DeFi etter at angriperen flyttet det stjålne rsETH til Aave V3 og brukte det som sikkerhet for å låne store mengder WETH. Dette hevet bekymringer om mulig dårlig gjeld på Aave og førte til at protokollen frøs rsETH-markedene på både V3 og V4.
«RsETH har blitt frosset på Aave V3 og V4»
Aave-grunnlegger Stani Kulechov uttalte at eiendelen ikke lenger har lånekapasitet på grunn av Kelp DAO-bro-utnyttelsen. Historiske data fra Aavescan viste at mer enn 10 milliarder dollar forlot Aave etter angrepet, med totale tilgjengelige midler som falt fra 45,8 milliarder dollar til 35,7 milliarder dollar.
Følgene strakte seg utover Aave. Flere DeFi-protokoller, inkludert Ethena, ether.fi, Tron DAO og Curve Finance, pauset LayerZero OFT-broer som en forholdsregel. DefiLlama-data viste at den totale verdien låst i DeFi falt med 7 % på 24 timer, til omtrent 86,3 milliarder dollar, ned fra 99,5 milliarder dollar 18. april.
LayerZero uttalte at det er «null smitte» for andre eiendeler eller applikasjoner som bruker multi-DVN-oppsett, mens rettshåndhevende myndigheters innsats for å spore midlene fortsetter.
