LayerZero culpa a la configuración de Kelp por un exploit de 290 millones de dólares y lo atribuye a Lazarus de Corea del Norte
LayerZero ha atribuido la responsabilidad del exploit Kelp DAO de 290 millones de dólares a la propia configuración de seguridad de Kelp, diciendo que el protocolo de recuperación de líquidos ejecutaba una configuración de verificación única contra la que LayerZero había advertido previamente.
El ataque utilizó un vector novedoso dirigido a la capa de infraestructura en lugar de cualquier código de protocolo.
Los atacantes, a quienes LayerZero atribuyó con confianza preliminar al Grupo Lazarus de Corea del Norte y su subunidad TraderTraitor, comprometieron dos de los nodos de llamada a procedimiento remoto (RPC) en los que confiaba el verificador de LayerZero para confirmar las transacciones entre cadenas.
Los nodos RPC son los servidores que permiten que el software lea y escriba datos en una cadena de bloques, y el verificador de LayerZero utilizó una combinación de servidores internos y externos para lograr redundancia.
Los atacantes intercambiaron el software binario que se ejecuta en dos de esos nodos con versiones maliciosas diseñadas para informar al verificador de LayerZero que se había producido una transacción fraudulenta, mientras continuaban informando datos precisos a todos los demás sistemas que consultaban esos mismos nodos.
Esa mentira selectiva fue diseñada para mantener el ataque invisible para la propia infraestructura de monitoreo de LayerZero, que consulta los mismos RPC desde diferentes direcciones IP.
Comprometer dos nodos no fue suficiente. El verificador de LayerZero también consultó nodos RPC externos no comprometidos, por lo que los atacantes ejecutaron un ataque distribuido de denegación de servicio para forzar la conmutación por error a los envenenados.
Los registros de tráfico compartidos por LayerZero muestran que el DDoS se ejecutó entre las 10:20 a. m. y las 11:40 a. m., hora del Pacífico, el sábado. Una vez que se activó la conmutación por error, los nodos comprometidos le dijeron al verificador que había llegado un mensaje válido entre cadenas y el puente de Kelp liberó 116,500 rsETH a los atacantes. El software malicioso del nodo luego se autodestruyó, borrando archivos binarios y registros locales.
El ataque solo funcionó porque Kelp ejecutó una configuración de verificador 1 de 1, lo que significa que LayerZero Labs era la única entidad que verificaba los mensajes hacia y desde el puente rsETH.
La lista de verificación de integración pública de LayerZero y las comunicaciones directas con Kelp habían recomendado una configuración de múltiples verificadores con redundancia, donde se requeriría el consenso entre varios verificadores independientes para confirmar un mensaje. Bajo esa configuración, envenenar la fuente de datos de un verificador no habría sido suficiente para falsificar un mensaje válido.
"KelpDAO eligió utilizar una configuración DVN 1/1", escribió LayerZero, utilizando el término del protocolo para redes de verificación descentralizadas. "Una configuración adecuadamente reforzada habría requerido consenso entre múltiples DVN independientes, haciendo que este ataque sea ineficaz incluso en el caso de que un solo DVN se viera comprometido".
LayerZero dijo que ha confirmado cero contagio a cualquier otra aplicación del protocolo. Todos los tokens y aplicaciones estándar OFT que ejecutan configuraciones de múltiples verificadores no se vieron afectados.
El verificador de LayerZero Labs vuelve a estar en línea y la compañía dijo que ya no firmará mensajes para ninguna aplicación que ejecute una configuración 1 de 1, lo que obligará a una migración de todo el protocolo desde configuraciones de verificador único.
La distinción arquitectónica es importante para determinar cómo DeFi valora el riesgo de LayerZero en el futuro.
Un error a nivel de protocolo habría implicado que todos los tokens OFT de cada cadena estaban potencialmente en riesgo. Sin embargo, una falla de configuración por parte de un único integrador, combinada con un ataque dirigido a la infraestructura, implica que el protocolo funcionó según lo diseñado y que las opciones de seguridad de Kelp, no el código de LayerZero, crearon la apertura.
Kelp aún no ha respondido públicamente al marco de LayerZero ni ha abordado por qué operó una configuración de verificador 1 de 1 a pesar de las recomendaciones explícitas en su contra.
Lazarus Group ha sido vinculado al exploit Drift Protocol el 1 de abril y ahora a Kelp el 18 de abril, lo que significa que la misma unidad norcoreana ha drenado más de 575 millones de dólares de DeFi en 18 días a través de dos vectores de ataque estructuralmente diferentes: firmantes de gobernanza de ingeniería social en Drift y envenenamiento de RPC de infraestructura en Kelp.
El grupo está adaptando su manual más rápido de lo que los protocolos DeFi endurecen sus defensas.