LayerZero (ZRO), qui a été accusé du piratage de KelpDAO le mois dernier, a publié son premier rapport sur l'incident
LayerZero a publié son rapport d'incident complet sur l'attaque massive d'avril contre le pont rsETH de KelpDAO.
Selon le rapport, environ 116 500 rsETH ont été volés lors de l'attaque du 18 avril. La valeur totale des actifs volés est estimée à environ 292 millions de dollars. Plusieurs sociétés de sécurité pensent que le groupe de pirates informatiques lié à la Corée du Nord, TraderTraitor (UNC4899), était à l'origine de l'attaque. Selon le communiqué de l’entreprise, l’attaque ne visait pas directement le protocole LayerZero ou d’autres OApps. Cela n'a affecté que le pont rsETH, qui a une configuration de validateur unique pour KelpDAO. LayerZero a déclaré que l'incident était dû à une opération avancée d'ingénierie sociale menée au niveau de l'infrastructure.
Selon le rapport, les attaquants ont obtenu les clés de session des développeurs de LayerZero Labs via des méthodes d'ingénierie sociale dès le 6 mars. Ils ont ensuite infiltré l'environnement cloud RPC de l'entreprise et manipulé les nœuds RPC internes, déployant des correctifs de mémoire. Ces nœuds ont continué à renvoyer des données normales aux outils de surveillance, mais ont fourni des informations modifiées sur l'état de la blockchain au système DVN (Decentralized Validator Network) de LayerZero.
Actualités connexes Un analyste de Bloomberg déclare qu'il existe une forte demande pour un ETF au comptant pour un certain Altcoin
Il a également été déclaré que les attaquants avaient lancé des attaques DoS contre des fournisseurs RPC externes, rendant ainsi le système DVN dépendant uniquement des nœuds internes compromis. Ce processus a finalement généré des preuves valides de faux messages inter-chaînes, et comme la configuration du validateur unique de KelpDAO le permettait, le contrat rsETH a accepté ces preuves, libérant ainsi les actifs.
Suite à l'incident, LayerZero Labs a annoncé des changements importants dans son architecture de sécurité. La société a déclaré qu'elle avait imposé des configurations de sécurité minimales pour les canaux utilisant DVN et qu'elle ne fournirait plus de signatures en tant que seul validateur. En outre, il a été noté que l'infrastructure concernée a été entièrement reconstruite sur la base d'une architecture zéro confiance et que des mécanismes d'élévation instantanée des privilèges ont été mis en œuvre.
LayerZero a ajouté qu'ils continuent de renforcer leurs configurations de sécurité avec leurs partenaires de l'écosystème et collaborent avec les forces de l'ordre et les sociétés de sécurité pour enquêter sur l'attaque, identifier l'auteur et suivre les mouvements de fonds.
*Ceci ne constitue pas un conseil en investissement.