LayerZero accuse la configuration de Kelp d'être à l'origine d'un exploit de 290 millions de dollars et l'attribue au nord-coréen Lazarus.
LayerZero a attribué la responsabilité de l'exploit Kelp DAO de 290 millions de dollars à la propre configuration de sécurité de Kelp, affirmant que le protocole de restauration des liquides exécutait une configuration à vérificateur unique contre laquelle LayerZero avait précédemment mis en garde.
L’attaque a utilisé un nouveau vecteur ciblant la couche infrastructure plutôt que n’importe quel code de protocole.
Les attaquants, que LayerZero a attribués avec une confiance préliminaire au groupe nord-coréen Lazarus et à sa sous-unité TraderTraitor, ont compromis deux des nœuds d'appel de procédure à distance (RPC) sur lesquels le vérificateur de LayerZero s'est appuyé pour confirmer les transactions inter-chaînes.
Les nœuds RPC sont les serveurs qui permettent aux logiciels de lire et d'écrire des données sur une blockchain, et le vérificateur de LayerZero a utilisé un mélange de serveurs internes et externes pour la redondance.
Les attaquants ont remplacé le logiciel binaire exécuté sur deux de ces nœuds par des versions malveillantes conçues pour indiquer au vérificateur de LayerZero qu'une transaction frauduleuse avait eu lieu, tout en continuant à transmettre des données précises à tous les autres systèmes interrogeant ces mêmes nœuds.
Ce mensonge sélectif a été conçu pour garder l'attaque invisible pour la propre infrastructure de surveillance de LayerZero, qui interroge les mêmes RPC à partir de différentes adresses IP.
Compromettre deux nœuds n’était pas suffisant. Le vérificateur de LayerZero a également interrogé les nœuds RPC externes non compromis, de sorte que les attaquants ont lancé une attaque par déni de service distribué sur ceux-ci pour forcer le basculement vers ceux empoisonnés.
Les journaux de trafic partagés par LayerZero montrent que les DDoS se sont déroulés entre 10 h 20 et 11 h 40, heure du Pacifique, samedi. Une fois le basculement déclenché, les nœuds compromis ont indiqué au vérificateur qu'un message inter-chaîne valide était arrivé, et le pont de Kelp a libéré 116 500 rsETH aux attaquants. Le logiciel de nœud malveillant s'est ensuite autodétruit, effaçant les binaires et les journaux locaux.
L'attaque n'a fonctionné que parce que Kelp exécutait une configuration de vérificateur 1 sur 1, ce qui signifie que LayerZero Labs était la seule entité vérifiant les messages vers et depuis le pont rsETH.
La liste de contrôle d'intégration publique de LayerZero et les communications directes avec Kelp avaient recommandé une configuration multi-vérificateurs avec redondance, où un consensus entre plusieurs vérificateurs indépendants serait nécessaire pour confirmer un message. Dans cette configuration, empoisonner le flux de données d’un vérificateur n’aurait pas suffi à forger un message valide.
"KelpDAO a choisi d'utiliser une configuration DVN 1/1", a écrit LayerZero, en utilisant le terme du protocole pour les réseaux de vérification décentralisés. "Une configuration correctement renforcée aurait nécessité un consensus sur plusieurs DVN indépendants, rendant cette attaque inefficace même dans le cas où un seul DVN serait compromis."
LayerZero a déclaré avoir confirmé aucune contagion à toute autre application du protocole. Tous les jetons et applications standard OFT exécutant des configurations multi-vérificateurs n'ont pas été affectés.
Le vérificateur LayerZero Labs est de retour en ligne et la société a déclaré qu'elle ne signerait plus les messages pour les applications exécutant une configuration 1 sur 1, forçant ainsi une migration à l'échelle du protocole hors des configurations à vérificateur unique.
La distinction architecturale est importante pour la façon dont DeFi évalue le risque de LayerZero à l’avenir.
Un bug au niveau du protocole aurait impliqué que chaque jeton OFT de chaque chaîne était potentiellement menacé. Cependant, un échec de configuration par un seul intégrateur, combiné à une attaque ciblée sur l'infrastructure, implique que le protocole a fonctionné comme prévu et que les choix de sécurité de Kelp, et non le code de LayerZero, ont créé l'ouverture.
Kelp n'a pas encore répondu publiquement au cadrage de LayerZero ni expliqué pourquoi il utilisait une configuration de vérificateur 1 sur 1 malgré les recommandations explicites à son encontre.
Le groupe Lazarus a été lié à l'exploit Drift Protocol le 1er avril et maintenant à Kelp le 18 avril, ce qui signifie que la même unité nord-coréenne a drainé plus de 575 millions de dollars de DeFi en 18 jours grâce à deux vecteurs d'attaque structurellement différents : les signataires de la gouvernance d'ingénierie sociale chez Drift et l'empoisonnement des RPC d'infrastructure chez Kelp.
Le groupe adapte son playbook plus rapidement que les protocoles DeFi ne renforcent leurs défenses.