Le manuel de stratégie de braquage de crypto-monnaie en Corée du Nord s'étend et DeFi continue d'être touché
Moins de trois semaines après que des pirates informatiques liés à la Corée du Nord ont utilisé l'ingénierie sociale pour frapper la société de trading de crypto-monnaie Drift, les pirates informatiques liés à la nation semblent avoir réussi un autre exploit majeur avec Kelp.
L’attaque contre Kelp, un protocole de restauration lié à l’infrastructure inter-chaînes de LayerZero, suggère une évolution dans la façon dont les pirates informatiques liés à la Corée du Nord opèrent, non seulement à la recherche de bugs ou d’informations d’identification volées, mais en exploitant les hypothèses de base intégrées aux systèmes décentralisés.
Pris ensemble, les deux incidents indiquent quelque chose de plus organisé qu’une série de piratages ponctuels, alors que la Corée du Nord continue d’intensifier ses efforts pour détourner les fonds du secteur de la cryptographie.
"Il ne s'agit pas d'une série d'incidents ; c'est d'une cadence", a déclaré Alexander Urbelis, responsable de la sécurité de l'information et avocat général chez ENS Labs. « Vous ne pouvez pas vous sortir d’un calendrier d’approvisionnement par des correctifs. »
Plus de 500 millions de dollars ont été détournés dans les exploitations Drift et Kelp en un peu plus de deux semaines.
Comment Kelp a été violé
À la base, l’exploit Kelp n’impliquait pas de rupture de chiffrement ou de piratage de clés. Le système fonctionnait réellement comme il avait été conçu. Au contraire, les attaquants ont manipulé les données alimentant le système et l'ont forcé à s'appuyer sur ces entrées compromises, l'amenant à approuver des transactions qui n'ont jamais eu lieu.
"L'échec de la sécurité est simple : un mensonge signé reste un mensonge", a déclaré Urbelis. « Les signatures garantissent la paternité ; elles ne garantissent pas la vérité. »
En termes plus simples, le système vérifiait qui avait envoyé le message, et non si le message lui-même était correct. Pour les experts en sécurité, il s’agit moins d’un nouveau hack intelligent que d’une exploitation de la manière dont le système a été configuré.
"Cette attaque n'avait pas pour but de briser la cryptographie", a déclaré David Schwed, COO de la société de sécurité blockchain SVRN. "Il s'agissait d'exploiter la manière dont le système était configuré."
Un problème clé était le choix de la configuration. Kelp s'appuyait sur un seul vérificateur, essentiellement un vérificateur, pour approuver les messages inter-chaînes. En effet, il est plus rapide et plus simple à configurer, mais il supprime une couche de sécurité critique.
LayerZero a depuis recommandé d'utiliser plusieurs vérificateurs indépendants pour approuver les transactions suite aux retombées, de la même manière que l'exigence de plusieurs signatures sur un virement bancaire. Certains membres de l’écosystème ont repoussé ce cadre, affirmant que la configuration par défaut de LayerZero était d’avoir un seul vérificateur.
"Si vous avez identifié une configuration comme dangereuse, ne la proposez pas en option", a déclaré Schwed. « Une sécurité qui dépend de la lecture des documents par chacun et de sa bonne exécution n'est pas réaliste. »
Les retombées ne se limitent pas au varech. Comme de nombreux systèmes DeFi, ses actifs sont utilisés sur plusieurs plates-formes, ce qui signifie que les problèmes peuvent se propager.
"Ces actifs sont une chaîne de reconnaissances de dette", a déclaré Schwed. "Et la chaîne est aussi solide que les contrôles sur chaque maillon."
Lorsqu’un lien se brise, d’autres sont affectés. Dans ce cas, les plateformes de prêt comme Aave, qui ont accepté les actifs concernés comme garantie, sont désormais confrontées à des pertes, transformant un seul exploit en un événement de tension plus large.
Marketing de décentralisation
L’attaque révèle également un écart entre la manière dont la décentralisation est commercialisée et son fonctionnement réel.
"Un seul vérificateur n'est pas décentralisé", a déclaré Schwed. "C'est un vérificateur décentralisé et centralisé."
Urbelis le dit plus largement.
"La décentralisation n'est pas une propriété d'un système. C'est une série de choix", a-t-il déclaré. "Et la pile est aussi solide que sa couche la plus centralisée."
En pratique, cela signifie que même les systèmes qui semblent décentralisés peuvent présenter des points faibles, en particulier dans les couches les moins visibles comme les fournisseurs de données ou l'infrastructure. C’est de plus en plus sur ces points que les attaquants se concentrent.
Ce changement pourrait expliquer le récent ciblage de Lazarus.
Le groupe a commencé à se concentrer sur les infrastructures inter-chaînes et de restructuration, a déclaré Urbelis, les parties de la cryptographie qui déplacent les actifs entre les systèmes ou permettent de les réutiliser.
Ces couches sont critiques mais complexes, souvent situées sous des applications plus visibles. Ils ont également tendance à détenir de grandes quantités de valeur, ce qui en fait des cibles attrayantes.
Si les vagues précédentes de piratages cryptographiques se sont concentrées sur les échanges ou sur des failles de code évidentes, les activités récentes suggèrent une évolution vers ce que l’on pourrait appeler la plomberie de l’industrie, des systèmes qui connectent tout entre eux, mais qui sont plus difficiles à surveiller et plus faciles à mal configurer.
Alors que Lazarus continue de s’adapter, le risque le plus important ne réside peut-être pas dans les vulnérabilités inconnues, mais dans celles connues qui ne sont pas entièrement traitées.
L’exploit Kelp n’a pas introduit de nouveau type de faiblesse. Cela a montré à quel point l’écosystème reste exposé aux écosystèmes familiers, en particulier lorsque la sécurité est traitée comme une recommandation plutôt que comme une exigence.
Et à mesure que les attaquants progressent plus rapidement, cette lacune devient à la fois plus facile à exploiter et beaucoup plus coûteuse à ignorer.
Lire la suite : Des pirates informatiques nord-coréens organisent des braquages massifs parrainés par l'État pour gérer son économie et son programme nucléaire.