Nordkoreas Krypto-Raub-Strategie weitet sich aus und DeFi wird immer wieder in Mitleidenschaft gezogen
Weniger als drei Wochen, nachdem mit Nordkorea verbundene Hacker Social Engineering nutzten, um das Krypto-Handelsunternehmen Drift anzugreifen, scheinen mit Nordkorea verbundene Hacker mit Kelp einen weiteren großen Exploit ausgeführt zu haben.
Der Angriff auf Kelp, ein Restaking-Protokoll, das in die Cross-Chain-Infrastruktur von LayerZero eingebunden ist, deutet auf eine Weiterentwicklung der Arbeitsweise von mit Nordkorea verbundenen Hackern hin, die nicht nur nach Fehlern oder gestohlenen Zugangsdaten suchen, sondern die in dezentralen Systemen eingebauten Grundannahmen ausnutzen.
Zusammengenommen deuten die beiden Vorfälle auf etwas Organisierteres als eine Reihe einmaliger Hackerangriffe hin, da Nordkorea seine Bemühungen, Gelder aus dem Kryptosektor zu kapern, weiter verstärkt.
„Dies ist keine Reihe von Vorfällen; es ist eine Kadenz“, sagte Alexander Urbelis, Chief Information Security Officer und General Counsel bei ENS Labs. „Man kann sich aus einem Beschaffungsplan nicht herauswinden.“
In etwas mehr als zwei Wochen wurden durch die Drift- und Kelp-Exploits mehr als 500 Millionen US-Dollar abgeschöpft.
Wie Kelp verletzt wurde
Im Kern ging es beim Kelp-Exploit nicht darum, die Verschlüsselung zu knacken oder Schlüssel zu knacken. Das System funktionierte tatsächlich so, wie es konzipiert war. Vielmehr manipulierten Angreifer die Dateneingabe in das System und zwangen es, sich auf diese kompromittierten Eingaben zu verlassen, was dazu führte, dass Transaktionen genehmigt wurden, die tatsächlich nie stattgefunden hatten.
„Das Sicherheitsversagen ist einfach: Eine unterschriebene Lüge ist immer noch eine Lüge“, sagte Urbelis. „Signaturen garantieren die Urheberschaft; sie garantieren nicht die Wahrheit.“
Vereinfacht ausgedrückt prüfte das System, wer die Nachricht gesendet hatte, und nicht, ob die Nachricht selbst korrekt war. Für Sicherheitsexperten geht es dabei weniger um einen cleveren neuen Hack als vielmehr darum, die Art und Weise auszunutzen, wie das System eingerichtet wurde.
„Bei diesem Angriff ging es nicht darum, die Kryptografie zu knacken“, sagte David Schwed, COO des Blockchain-Sicherheitsunternehmens SVRN. „Es ging darum, die Art und Weise auszunutzen, wie das System eingerichtet war.“
Ein zentrales Problem war die Wahl der Konfiguration. Kelp verließ sich auf einen einzigen Verifizierer, im Wesentlichen einen Prüfer, um kettenübergreifende Nachrichten zu genehmigen. Das liegt daran, dass die Einrichtung schneller und einfacher ist, aber eine wichtige Sicherheitsebene entfällt.
LayerZero hat seitdem empfohlen, mehrere unabhängige Verifizierer zu verwenden, um Transaktionen im Fallout zu genehmigen, ähnlich wie bei einer Banküberweisung mehrere Unterschriften erforderlich sind. Einige im Ökosystem haben diese Formulierung zurückgewiesen und erklärt, dass die Standardkonfiguration von LayerZero darin bestehe, einen einzigen Verifizierer zu haben.
„Wenn Sie eine Konfiguration als unsicher identifiziert haben, versenden Sie sie nicht als Option“, sagte Schwed. „Eine Sicherheit, die davon abhängt, dass jeder die Dokumente liest und alles richtig macht, ist nicht realistisch.“
Der Niederschlag blieb nicht auf Kelp beschränkt. Wie bei vielen DeFi-Systemen werden seine Vermögenswerte auf mehreren Plattformen genutzt, was bedeutet, dass sich Probleme ausbreiten können.
„Diese Vermögenswerte sind eine Kette von Schuldscheinen“, sagte Schwed. „Und die Kette ist nur so stark wie die Kontrollen an jedem Glied.“
Wenn ein Link kaputt geht, sind andere davon betroffen. In diesem Fall haben Kreditplattformen wie Aave, die die betroffenen Vermögenswerte als Sicherheit akzeptiert haben, nun mit Verlusten zu kämpfen, wodurch ein einzelner Exploit zu einem größeren Stressereignis wird.
Dezentralisierungsmarketing
Der Angriff deckt auch eine Lücke zwischen der Vermarktung der Dezentralisierung und ihrer tatsächlichen Funktionsweise auf.
„Ein einzelner Prüfer ist nicht dezentral“, sagte Schwed. „Es ist ein zentralisierter dezentraler Verifizierer.“
Urbelis drückt es allgemeiner aus.
„Dezentralisierung ist keine Eigenschaft eines Systems. Es ist eine Reihe von Entscheidungen“, sagte er. „Und der Stapel ist nur so stark wie seine zentralste Schicht.“
In der Praxis bedeutet das, dass auch scheinbar dezentralisierte Systeme Schwachstellen aufweisen können, insbesondere auf den weniger sichtbaren Ebenen wie Datenanbietern oder Infrastruktur. Auf diese Bereiche richten sich die Angreifer zunehmend.
Diese Verschiebung könnte Lazarus‘ jüngstes Ziel erklären.
Laut Urbelis hat die Gruppe damit begonnen, sich auf die Cross-Chain- und Restaking-Infrastruktur zu konzentrieren, also auf die Teile der Kryptowährung, die Vermögenswerte zwischen Systemen verschieben oder deren Wiederverwendung ermöglichen.
Diese Schichten sind wichtig, aber komplex und liegen oft unter sichtbareren Anwendungen. Sie neigen außerdem dazu, einen hohen Wert zu besitzen, was sie zu attraktiven Zielen macht.
Während sich frühere Wellen von Krypto-Hacks auf Börsen oder offensichtliche Codefehler konzentrierten, deuten die jüngsten Aktivitäten auf eine Entwicklung hin zu dem hin, was man als „Klempnerarbeit“ der Branche bezeichnen könnte, also zu Systemen, die alles miteinander verbinden, aber schwerer zu überwachen und leichter falsch zu konfigurieren sind.
Während sich Lazarus weiter anpasst, besteht das größte Risiko möglicherweise nicht in unbekannten Schwachstellen, sondern in bekannten Schwachstellen, die nicht vollständig behoben werden.
Der Kelp-Exploit führte nicht zu einer neuen Art von Schwachstelle. Es zeigte sich, wie anfällig das Ökosystem gegenüber vertrauten Ökosystemen bleibt, insbesondere wenn Sicherheit als Empfehlung und nicht als Anforderung behandelt wird.
Und je schneller Angreifer agieren, desto leichter lässt sich diese Lücke ausnutzen und desto teurer ist es, sie zu ignorieren.
Lesen Sie mehr: Nordkoreanische Hacker führen massive staatlich geförderte Raubüberfälle durch, um die Wirtschaft und das Atomprogramm des Landes in Gang zu halten