قالت LayerZero إن مجموعة لازاروس التابعة لكوريا الشمالية هي الفاعل المحتمل وراء استغلال Kelp DAO الذي استنزف 116,500 من rsETH بقيمة حوالي 292 مليون دولار.
قالت الشركة إن المؤشرات المبكرة تشير إلى "جهة فاعلة حكومية بالغة التطور" وذكرت "مجموعة لازاروس التابعة لجمهورية كوريا الشعبية الديمقراطية، وبالتحديد TraderTraitor" في بيانها الأخير.
وقع الهجوم في 18 أبريل وسرعان ما أصبح أكبر استغلال للتمويل اللامركزي (DeFi) يتم الإبلاغ عنه هذا العام. قالت LayerZero إن المهاجم استهدف النظام المستخدم للتحقق من الرسائل عبر السلاسل، مما سمح لرسالة خاطئة بالمرور وفتح قفل الرموز على الجسر.
قالت LayerZero إن المهاجم وصل إلى قائمة عقد RPC المستخدمة من قبل شبكة التحقق اللامركزية (DVN) التابعة لـ LayerZero Labs. ووفقًا للشركة، قام المهاجم بعد ذلك بتسميم اثنتين من تلك العقد لكي تقدمان رسالة مزورة عبر السلاسل إلى شبكة المدققين.
في الوقت نفسه، شن المهاجم هجوم حجب الخدمة الموزع (DDoS) ضد العقد النظيفة، مما دفع شبكة DVN إلى الاعتماد على العقد المسمومة. قالت LayerZero إن هذا المزيج سمح للرسالة المزورة بالمرور عبر النظام وتفعيل فتح قفل الرمز الذي أدى إلى الخسارة.
بالإضافة إلى ذلك، قالت LayerZero إن الضرر أصبح ممكنًا لأن Kelp DAO استخدمت إعداد DVN فردي 1-من-1 بدون مدقق احتياطي. وقالت الشركة إن هذا أوجد نقطة فشل واحدة، ولم يترك أي تحقق مستقل لرفض الرسالة المزيفة قبل أن يحرر الجسر الأموال.
في بيانها، قالت LayerZero إن "تشغيل تهيئة نقطة فشل واحدة يعني عدم وجود مدقق مستقل للكشف عن رسالة مزورة ورفضها." كما قالت "LayerZero وجهات خارجية أخرى سبق أن نقلت أفضل الممارسات حول تنويع DVN إلى KelpDAO." وأضافت الشركة أنها لن توقع بعد الآن على الرسائل للتطبيقات التي تستخدم إعداد DVN 1/1.
نشر الاستغلال التوتر عبر التمويل اللامركزي (DeFi) بعد أن نقل المهاجم rsETH المسروقة إلى Aave V3 واستخدمها كضمان لاقتراض كميات كبيرة من WETH. أثار هذا قلقًا بشأن احتمال وجود ديون معدومة على Aave وأدى بالبروتوكول إلى تجميد أسواق rsETH على كل من V3 و V4.
قال مؤسس Aave ستاني كوليتشوف إن "RsETH قد تم تجميدها على Aave V3 و V4" وأضاف أن الأصل لم يعد يمتلك قوة اقتراض بسبب استغلال جسر Kelp DAO. أظهرت البيانات التاريخية من Aavescan أن أكثر من 10 مليارات دولار غادرت Aave بعد الهجوم، مع انخفاض إجمالي الأموال الموردة إلى 35.7 مليار دولار من 45.8 مليار دولار.
امتدت التداعيات إلى ما وراء Aave. أوقفت العديد من بروتوكولات التمويل اللامركزي (DeFi)، بما في ذلك Ethena و ether.fi و Tron DAO و Curve Finance، جسور LayerZero OFT كإجراء احتراطي.
أظهرت بيانات DefiLlama أن إجمالي القيمة المقفلة (TVL) للتمويل اللامركزي (DeFi) انخفض بنسبة 7% خلال 24 ساعة ليصل إلى حوالي 86.3 مليار دولار، منخفضًا من 99.5 مليار دولار في 18 أبريل. قالت LayerZero إنه لا يوجد "عدوى" لأصول أو تطبيقات أخرى تستخدم إعدادات DVN متعددة، بينما تتواصل جهود إنفاذ القانون لتتبع الأموال.
