LayerZero, Kelp DAO Saldırısının Arkasında Kuzey Koreli Lazarus Grubunun Olduğunu Düşünüyor

LayerZero, Kelp DAO'dan 292 milyon dolar değerinde 116.500 rsETH'nin çalınmasıyla sonuçlanan sömürünün arkasında Kuzey Kore'nin Lazarus Grubunun olası aktör olduğunu açıkladı. LayerZero, Kelp DAO'nun tek bir 1-of-1 DVN kurulumunu suçlayarak, yedek bir doğrulayıcının sahte zincirler arası mesajı engellemediğini belirtti.

Şirket, ilk göstergelerin "oldukça gelişmiş bir devlet aktörüne" işaret ettiğini ve en son açıklamasında "DPRK'nın Lazarus Grubu, daha spesifik olarak TraderTraitor" adını verdi. Saldırı 18 Nisan'da gerçekleşti ve bu yılın bildirilen en büyük DeFi istismarı oldu.

LayerZero, saldırganın, sahte bir mesajın geçmesine ve köprüdeki tokenlerin kilidini açmasına izin veren, zincirler arası mesajları doğrulamak için kullanılan sistemi hedeflediğini söyledi. Saldırı, LayerZero Labs'ın merkeziyetsiz doğrulanmış ağı (DVN) tarafından kullanılan RPC düğümlerinin listesine erişim sağlamakla başladı. Daha sonra, saldırgan bu düğümlerden ikisini zehirledi ve doğrulayıcı ağa sahte bir zincirler arası mesaj iletmelerini sağladı. Aynı zamanda, saldırgan temiz düğümlere karşı bir DDoS saldırısı başlattı ve bu da DVN'yi zehirlenmiş düğümlere güvenmeye itti. LayerZero, bu kombinasyonun sahte mesajın sistemden geçmesine ve kaybına yol açan token kilidini tetiklemesine izin verdiğini belirtti.

Ek olarak, LayerZero, Kelp DAO'nun yedek doğrulayıcısı olmayan tek bir 1-of-1 DVN kurulumu kullanması nedeniyle hasarın mümkün olduğunu söyledi. Şirket, bunun, köprü fonları serbest bırakmadan önce sahte mesajı reddetmek için bağımsız bir kontrol bırakmayarak, tek bir arıza noktası yarattığını söyledi. LayerZero, açıklamasında, "Tek bir arıza noktası yapılandırması işletmek, sahte bir mesajı yakalayacak ve reddedecek bağımsız bir doğrulayıcının olmadığı anlamına geliyordu" dedi. Ayrıca, "LayerZero ve diğer harici taraflar daha önce KelpDAO'ya DVN çeşitlendirmesiyle ilgili en iyi uygulamaları iletti" dedi. Şirket, artık 1/1 DVN kurulumu kullanan uygulamalar için mesaj imzalamayacağını da sözlerine ekledi.

Saldırı, saldırganın çalınan rsETH'yi Aave V3'e taşıyarak ve büyük miktarda WETH ödünç almak için teminat olarak kullanmasıyla DeFi'ye stres yaydı. Bu, Aave'de olası kötü borçlar konusunda endişe yarattı ve protokolün hem V3 hem de V4'te rsETH piyasalarını dondurmasına yol açtı. Aave kurucusu Stani Kulechov, "RsETH, Aave V3 ve V4'te donduruldu" dedi ve Kelp DAO köprü istismarı nedeniyle varlığın artık borçlanma gücüne sahip olmadığını ekledi. Aavescan'den elde edilen tarihsel veriler, saldırıdan sonra Aave'den 10 milyar dolardan fazla fonun çıktığını gösterdi; toplam sağlanan fonlar 18 Nisan'daki 45.8 milyar dolardan 35.7 milyar dolara düştü.

Sonuç olarak, saldırının etkileri Aave'nin ötesine yayıldı. Ethena, ether.fi, Tron DAO ve Curve Finance dahil olmak üzere çeşitli DeFi protokolleri, önlem olarak LayerZero OFT köprülerini durdurdu. DeFiLlama verileri, DeFi toplam kilitli değerin 24 saat içinde %7 düşerek 18 Nisan'daki 99.5 milyar dolardan yaklaşık 86.3 milyar dolara gerilediğini gösterdi. LayerZero, çoklu DVN kurulumları kullanan diğer varlıklar veya uygulamalar için "sıfır bulaşma" olduğunu ve fonları izlemek için kolluk kuvvetlerinin çalışmalarına devam ettiğini belirtti.