Ki hibázott a Kelp DAO-nál?
A támadás lehetősége azért állt fenn, mert a Kelp DAO úgy döntött, hogy kizárólag egyetlen, úgynevezett egy az egyhez ellenőrzőt használ az üzenetek hitelesítésére, szemben a több ellenőrzős, redundáns megoldásokkal. Annak ellenére, hogy a LayerZero többször is figyelmeztette őket a kockázatokra, a Kelp DAO nem vezette be a többszörös ellenőrző rendszert. Ez a biztonsági döntés végzetesnek bizonyult.
Észrevétlen támadás: az infrastruktúra gyenge pontja
A hacker, akit a LayerZero szerint nagy valószínűséggel az észak-koreai Lazarus-csoport irányított, két blokklánc RPC-csomópontot tört fel. Ezek a csomópontok a LayerZero megbízott hitelesítőjének szolgáltak információval arról, hogy egy tranzakció valódi-e. Mindeközben a hackerek egyszerű DDoS (elosztott túlterheléses) támadással megbénították a külső, biztonságosabb csomópontokat, így a rendszer átirányította a kéréseket a már fertőzött csomópontokra.
Hogyan tűnt el 116 500 rsETH?
A manipulált csomópontok elhitették a rendszerrel, hogy valós tranzakció érkezett, így a Kelp hídja felszabadította az összesen 116 500 rsETH tokent, amelyek a támadókhoz jutottak. Miután a művelet befejeződött, a káros szoftver magától törlődött, így nyomokat sem hagyott.
Következmények és tanulságok
A LayerZero gyorsan hangsúlyozta, hogy a többi projektet nem érte kár, mert minden más alkalmazásban már a többszörös ellenőrzős modell működik. Mostantól a LayerZero nem ír alá üzenetet olyan projektnek, ahol kizárólag egyetlen ellenőrző működik. Ez a botrány világosan megmutatja, milyen súlyos ára lehet egyetlen, látszólag egyszerű biztonsági döntésnek a DeFi világában. Az is világossá vált, hogy a Lazarus-csoport egyre gyorsabban adaptálja taktikáját, miközben a protokollok lassan erősítik védelmüket. Az elmúlt 18 napban a csoport két, egymástól nagyon különböző módszerrel már összesen több mint 210 milliárd forintnyi vagyont lopott el.
