LayerZero (ZRO), das letzten Monat für den KelpDAO-Hack verantwortlich gemacht wurde, hat seinen ersten Bericht über den Vorfall veröffentlicht
LayerZero hat seinen umfassenden Vorfallbericht zum massiven Angriff auf die rsETH-Brücke von KelpDAO im April veröffentlicht.
Dem Bericht zufolge wurden bei dem Angriff am 18. April etwa 116.500 rsETH gestohlen. Der Gesamtwert der gestohlenen Vermögenswerte wird auf etwa 292 Millionen US-Dollar geschätzt. Mehrere Sicherheitsunternehmen gehen davon aus, dass die mit Nordkorea verbundene Hackergruppe TraderTraitor (UNC4899) hinter dem Angriff steckt. Laut Aussage des Unternehmens zielte der Angriff nicht direkt auf das LayerZero-Protokoll oder andere OApps. Es betraf nur die rsETH-Brücke, die über eine einzige Validatorkonfiguration für KelpDAO verfügt. LayerZero gab an, dass der Vorfall auf einer fortgeschrittenen Social-Engineering-Operation auf Infrastrukturebene beruhte.
Dem Bericht zufolge erlangten Angreifer ab dem 6. März mithilfe von Social-Engineering-Methoden die Sitzungsschlüssel der LayerZero Labs-Entwickler. Anschließend infiltrierten sie die RPC-Cloud-Umgebung des Unternehmens, manipulierten interne RPC-Knoten und stellten Speicherpatches bereit. Diese Knoten lieferten weiterhin normale Daten an Überwachungstools, lieferten jedoch geänderte Blockchain-Statusinformationen an das DVN-System (Decentralized Validator Network) von LayerZero.
Ähnliche Nachrichten Laut Bloomberg-Analysten besteht eine starke Nachfrage nach einem Spot-ETF für einen bestimmten Altcoin
Es wurde außerdem angegeben, dass die Angreifer DoS-Angriffe gegen externe RPC-Anbieter starteten und so das DVN-System ausschließlich von den kompromittierten internen Knoten abhängig machten. Dieser Prozess lieferte letztendlich gültige Beweise für gefälschte Cross-Chain-Nachrichten, und da die Einzelvalidatorkonfiguration von KelpDAO dies zuließ, akzeptierte der rsETH-Vertrag diese Beweise und gab die Vermögenswerte frei.
Nach dem Vorfall kündigte LayerZero Labs erhebliche Änderungen an seiner Sicherheitsarchitektur an. Das Unternehmen gab an, dass es Mindestsicherheitskonfigurationen für Kanäle, die DVN verwenden, vorgeschrieben hat und keine Signaturen mehr als alleiniger Validator bereitstellen wird. Darüber hinaus wurde festgestellt, dass die betroffene Infrastruktur auf Basis einer Zero-Trust-Architektur komplett neu aufgebaut wurde und Mechanismen zur sofortigen Rechteausweitung implementiert wurden.
LayerZero fügte hinzu, dass sie ihre Sicherheitskonfigurationen gemeinsam mit ihren Ökosystempartnern weiter stärken und mit Strafverfolgungs- und Sicherheitsunternehmen zusammenarbeiten, um den Angriff zu untersuchen, den Täter zu identifizieren und Geldbewegungen zu verfolgen.
*Dies ist keine Anlageberatung.