- Lazarus Group utilizó envenenamiento por RPC y ataques DDoS para falsificar transacciones y drenar 292 millones de dólares.
- KelpDAO ignoró la guía de LayerZero y utilizó la configuración DVN 1 de 1 más débil disponible.
- Schwartz dice que los proveedores de puentes promocionan una seguridad fuerte y luego desaconsellan a los clientes usarla.
El exploit de KelpDAO de 292 millones de dólares ahora tiene un atacante confirmado, una explicación detallada de cómo ocurrió y un veredicto sobre por qué se permitió que ocurriera en absoluto.
LayerZero confirmó que el ataque fue llevado a cabo por el Grupo Lazarus de Corea del Norte, concretamente por la unidad TraderTraitor. CTO Emérito de Ripple David Schwartz leyó la declaración y no se anduvo con rodeos.
«El ataque fue mucho más sofisticado de lo que esperaba», escribió Schwartz. «Dirigido a la infraestructura de Capa Cero, aprovechando la pereza de KelpDAO.»
Cómo funcionó realmente el ataque
El Grupo Lazarus no explotó ningún fallo en el protocolo LayerZero. En su lugar, se centraron en la infraestructura RPC que el DVN de Capa Cero usaba para verificar las transacciones.
Los atacantes comprometieron dos nodos RPC independientes, reemplazaron sus binarios por versiones maliciosas y diseñaron esos nodos para mostrar datos de transacciones falsificadas exclusivamente al DVN, mientras informaban datos precisos a todos los demás observadores, incluidos los propios sistemas de monitorización de LayerZero.
Fuente: X
Para completar el ataque, simultáneamente hacían DDoS en los nodos no comprometidos, forzando un conmutamiento por error a la infraestructura envenenada. La configuración maliciosa se autodestruyó tras el drenaje, eliminando automáticamente todos los registros y configuraciones locales.
Toda la operación se desarrolló entre las 10:20 y las 11:40 PT. Al final, se habían perdido 116.500 rsETH por valor de 292 millones de dólares.
La elección que lo hizo posible
Las propias directrices de LayerZero recomiendan explícitamente una configuración multi-DVN que requiera consenso entre múltiples verificadores independientes. KelpDAO eligió una configuración 1 de 1 con LayerZero Labs como único verificador. Un DVN comprometido era todo lo que necesitaban los atacantes.
«LayerZero comunicó previamente las mejores prácticas sobre la diversificación de DVN a KelpDAO. A pesar de estas recomendaciones, KelpDAO optó por utilizar una configuración 1/1.» decía el comunicado. «
Schwartz había señalado este patrón exacto durante la evaluación del puente para RLUSD. Los proveedores de puentes promocionan sus mejores características de seguridad y luego desaconsellan discretamente a los clientes que las utilicen por comodidad.
La advertencia que nadie quiere oír
Schwartz añadió una preocupación que podría sacudir aún más los mercados DeFi. «Creo que un corte de pelo generalizado en rsETH no es improbable», escribió.
Cualquier pérdida impuesta a los depositantes de WETH se propagaría simultáneamente por Morpho, Spark, Fluid y Euler, podiendo dañar todo el sector de reestenimiento líquido durante años.
LayerZero ha confirmado que ya no firmará mensajes de aplicaciones usando una configuración DVN 1/1. Las fuerzas del orden en varias jurisdicciones han sido notificadas.
Relacionado: Trump señala dudas sobre el alto el fuego, los mercados se vuelven volátiles
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
