Cryptonews

LayerZero обвиняет установку Kelp в эксплойте стоимостью 290 миллионов долларов и приписывает его северокорейскому Lazarus

Источник
cryptonewstrend.com
Опубликовано
LayerZero обвиняет установку Kelp в эксплойте стоимостью 290 миллионов долларов и приписывает его северокорейскому Lazarus

LayerZero возложила ответственность за эксплойт Kelp DAO стоимостью 290 миллионов долларов на собственную конфигурацию безопасности Kelp, заявив, что протокол перераспределения жидкости использует настройку с одним верификатором, против чего LayerZero ранее предупреждал.

В атаке использовался новый вектор, нацеленный на уровень инфраструктуры, а не на какой-либо код протокола.

Злоумышленники, которых LayerZero с предварительной уверенностью приписал северокорейской Lazarus Group и ее подразделению TraderTraitor, скомпрометировали два узла удаленного вызова процедур (RPC), на которые верификатор LayerZero полагался для подтверждения межсетевых транзакций.

Узлы RPC — это серверы, которые позволяют программному обеспечению читать и записывать данные в блокчейн, а верификатор LayerZero использовал сочетание внутренних и внешних узлов для резервирования.

Злоумышленники заменили двоичное программное обеспечение, работающее на двух из этих узлов, вредоносными версиями, предназначенными для того, чтобы сообщить верификатору LayerZero о том, что произошла мошенническая транзакция, продолжая при этом сообщать точные данные всем остальным системам, запрашивающим те же самые узлы.

Эта выборочная ложь была разработана для того, чтобы сделать атаку невидимой для собственной инфраструктуры мониторинга LayerZero, которая запрашивает одни и те же RPC с разных IP-адресов.

Компрометировать два узла было недостаточно. Верификатор LayerZero также опрашивал нескомпрометированные внешние узлы RPC, поэтому злоумышленники провели распределенную атаку типа «отказ в обслуживании», чтобы принудительно переключиться на зараженные узлы.

Журналы трафика, которыми поделился LayerZero, показывают, что DDoS-атаки происходили с 10:20 до 11:40 по тихоокеанскому времени в субботу. Как только сработало аварийное переключение, скомпрометированные узлы сообщили проверяющему, что пришло действительное межсетевое сообщение, и мост Kelp передал злоумышленникам 116 500 rsETH. Вредоносное программное обеспечение узла затем самоуничтожилось, удалив двоичные файлы и локальные журналы.

Атака сработала только потому, что Kelp запустил конфигурацию верификатора 1 из 1, а это означает, что LayerZero Labs была единственной организацией, проверяющей сообщения, поступающие и исходящие от моста rsETH.

Контрольный список общедоступной интеграции LayerZero и прямые сообщения с Kelp рекомендовали настройку нескольких верификаторов с избыточностью, при которой для подтверждения сообщения потребуется консенсус между несколькими независимыми верификаторами. В такой конфигурации отравления канала данных одного верификатора было бы недостаточно для подделки действительного сообщения.

«KelpDAO решила использовать конфигурацию 1/1 DVN», — написал LayerZero, используя термин протокола для децентрализованных сетей верификации. «Правильно усиленная конфигурация потребовала бы консенсуса между несколькими независимыми DVN, что сделало бы эту атаку неэффективной даже в случае взлома какой-либо одной DVN».

LayerZero заявила, что подтвердила отсутствие заражения любого другого приложения в протоколе. Все токены и приложения стандарта OFT, использующие настройки с несколькими верификаторами, не были затронуты.

Верификатор LayerZero Labs снова подключен к сети, и компания заявила, что больше не будет подписывать сообщения для любого приложения, работающего в конфигурации «1 из 1», что приводит к миграции всего протокола с установок с одним верификатором.

Архитектурное различие имеет значение для того, как DeFi оценивает риск LayerZero в будущем.

Ошибка на уровне протокола подразумевала бы, что каждый токен OFT в каждой цепочке потенциально находится под угрозой. Однако сбой конфигурации со стороны одного интегратора в сочетании с целенаправленной инфраструктурной атакой означает, что протокол работал так, как задумано, и что выбор безопасности Kelp, а не код LayerZero, создал брешь.

Kelp еще публично не отреагировал на формулировку LayerZero и не объяснил, почему он использует настройку верификатора «1 из 1», несмотря на явные рекомендации против этого.

Lazarus Group была связана с эксплойтом Drift Protocol 1 апреля, а теперь и Kelp 18 апреля. Это означает, что одно и то же северокорейское подразделение вытащило более 575 миллионов долларов из DeFi за 18 дней с помощью двух структурно разных векторов атак: подписантов системы управления социальной инженерией в Drift и отравления RPC инфраструктуры в Kelp.

Группа адаптирует свою стратегию быстрее, чем протоколы DeFi укрепляют свою защиту.