朝鲜的加密货币抢劫行动正在扩大，DeFi 不断受到打击

与朝鲜有关的黑客利用社交工程攻击加密货币交易公司 Drift 不到三周后，与该国有关的黑客似乎又利用 Kelp 完成了另一项重大攻击。

Kelp 是一种与 LayerZero 跨链基础设施相关的重新抵押协议，对 Kelp 的攻击表明与朝鲜有关的黑客的运作方式发生了演变，他们不仅仅是寻找错误或被盗凭证，而是利​​用去中心化系统中内置的基本假设。

总的来说，这两起事件表明，随着朝鲜继续加大从加密货币领域劫持资金的力度，这两起事件比一系列一次性黑客攻击更有组织性。

ENS 实验室首席信息安全官兼总法律顾问 Alexander Urbelis 表示：“这不是一系列事件；而是一种节奏。” “你无法摆脱采购计划。”

在短短两周多的时间里，Drift 和 Kelp 漏洞利用活动就挪用了超过 5 亿美元的资金。

Kelp 是如何被破坏的

从本质上讲，Kelp 漏洞并不涉及破坏加密或破解密钥。该系统实际上按照设计的方式工作。相反，攻击者操纵输入系统的数据，迫使系统依赖那些受损的输入，导致系统批准从未实际发生的交易。

“安全失败很简单：签署的谎言仍然是谎言，”乌贝利斯说。 “签名保证作者身份；但不能保证真实性。”

简单来说，系统检查是谁发送了消息，而不是消息本身是否正确。对于安全专家来说，这不再是一个聪明的新黑客攻击，而是更多地涉及利用系统的设置方式。

区块链安全公司 SVRN 首席运营官 David Schwed 表示：“这次攻击并不是为了破坏密码学。” “这是关于利用系统的设置方式。”

一个关键问题是配置选择。 Kelp 依靠单个验证器（本质上是一个检查器）来批准跨链消息。这是因为它的设置更快、更简单，但它消除了一个关键的安全层。

此后，LayerZero 建议使用多个独立验证者来批准后果中的交易，类似于银行转账时要求多个签名。生态系统中的一些人反驳了这一框架，称 LayerZero 的默认设置是只有一个验证者。

“如果您发现某个配置不安全，请不要将其作为选项提供，”施韦德说。 “依赖于每个人阅读文档并正确执行的安全性是不现实的。”

其影响并不仅限于海带。与许多 DeFi 系统一样，其资产跨多个平台使用，这意味着问题可能会蔓延。

“这些资产是一系列欠条，”施韦德说。 “链条的强度取决于每个环节的控制。”

当一个链接断开时，其他链接也会受到影响。在这种情况下，像 Aave 这样接受受影响资产作为抵押品的借贷平台现在正在面临损失，将单一的漏洞利用变成更广泛的压力事件。

去中心化营销

此次攻击还暴露了去中心化的营销方式与实际运作方式之间的差距。

“单一验证者并不是去中心化的，”施韦德说。 “这是一个中心化的去中心化验证者。”

乌贝利斯说得更广泛。

“去中心化不是一个系统所拥有的财产。它是一系列的选择，”他说。 “堆栈的强度取决于其最集中的层。”

在实践中，这意味着即使是看似去中心化的系统也可能存在弱点，特别是在数据提供商或基础设施等不太明显的层中。这些越来越成为攻击者关注的焦点。

这种转变或许可以解释拉撒路最近的攻击目标。

Urbelis 表示，该组织已开始关注跨链和重新抵押基础设施，即在系统之间移动资产或允许重复使用资产的加密货币部分。

这些层至关重要但很复杂，通常位于更可见的应用程序之下。它们还往往持有大量价值，这使得它们成为有吸引力的目标。

如果说早期的加密货币黑客浪潮主要集中在交易所或明显的代码缺陷上，那么最近的活动表明，人们正在向所谓的行业管道系统发展，即将所有东西连接在一起的系统，但更难监控，也更容易配置错误。

随着 Lazarus 不断适应，最大的风险可能不是未知的漏洞，而是尚未完全解决的已知漏洞。

Kelp 漏洞并没有引入新的弱点。它显示了生态系统仍然暴露在熟悉的生态系统中，尤其是当安全性被视为建议而不是要求时。

随着攻击者行动速度加快，这一差距变得更容易被利用，但忽视这一差距的成本也更高。

阅读更多：朝鲜黑客正在实施大规模的国家支持的抢劫活动，以运行其经济和核计划