LayerZero розкрив подробиці атаки на KelpDAO – Bits Media

Потерпілий від злому мосту KelpDAO зі збитком у $293 млн протокол LayerZero розкрив подробиці атаки хакерів і пов'язав її з північнокорейським угрупованням Lazarus, а точніше — її підрозділом TraderTraitor. При цьому аналітики не навели доказів того, що злом було організовано саме зловмисниками з КНДР.

У компанії розповіли, що зловмисники зламали частину технічної інфраструктури LayerZero, яка допомагає різним блокчейнам обмінюватись даними. Інші протоколи мосту не торкнулися. Атака стала можлива, оскільки проект KelpDAO мав недостатньо надійне налаштування безпеки, стверджують розробники. Зазвичай для захисту таких систем використовують кілька незалежних вузлів, що «перевіряють»: якщо один зламається або буде зламаний, інші продовжать роботу і запобігнуть атакі. KelpDAO використовував лише один «перевіряючий» вузол — від LayerZero.

Як показало попереднє розслідування, хакери діяли поетапно. Спочатку невідомі отримали доступ до списку технічних серверів (RPC-вузлів), які використовує LayerZero. Потім зламали два незалежні сервери, що працюють на різних майданчиках, і замінили їхнє програмне забезпечення на шкідливе.

За допомогою цих серверів зловмисники відправили системі підроблене повідомлення — нібито хтось переклав криптовалюту, хоча транзакції насправді не було. Для решти запитів ці сервери відповідали правильно, щоб не викликати підозр. Щоб система точно використовувала зламані сервери, хакери організували DDoS-атаку, заваливши решту масових помилкових запитів. Через перевантаження система переключилася на зламані вузли.

Після завершення атаки хакери стерли всі сліди: видалили шкідливе програмне забезпечення, логи та налаштування. Зараз система LayerZero повністю відновлена та працює у штатному режимі, запевняють розробники. Вони стверджують, що уразливості у протоколі не було.

Атака на Kelp відбулася у суботу, 18 квітня. Хакери вкрали 116 500 токенів Kelp DAO Restaked ETH (rsETH) з мосту LayerZero, використовуваного Kelp DAO. Потім зловмисники розмістили права на ці токени як заставу в Aave V3 і взяли позики в wETH. Платформа сприйняла заставу як реальні токени на Kelp DAO, але насправді монети вже були у гаманцях зловмисників. Через це біля майданчика утворився незабезпечений борг, а інвестори масово почали виводити із нього кошти.