LayerZero gibt an, dass die nordkoreanische Lazarus Group der wahrscheinliche Akteur hinter dem Kelp DAO Exploit ist, bei dem 116.500 rsETH im Wert von rund 292 Millionen US-Dollar entwendet wurden.
Das Unternehmen gab an, dass frühe Anzeichen auf einen „hochraffinierten staatlichen Akteur“ hindeuten und nannte in seiner jüngsten Erklärung die „DPRK's Lazarus Group, genauer gesagt TraderTraitor“.
Der Angriff fand am 18. April statt und entwickelte sich schnell zum größten in diesem Jahr gemeldeten DeFi-Exploit. LayerZero sagte, der Angreifer habe das System zur Überprüfung von Cross-Chain-Nachrichten ins Visier genommen, was es einer falschen Nachricht ermöglichte, durchzukommen und Token auf der Bridge freizuschalten.
LayerZero sagte, der Angreifer habe sich Zugang zur Liste der RPC-Nodes verschafft, die vom dezentralen Verifizierungsnetzwerk (DVN) von LayerZero Labs verwendet werden. Laut dem Unternehmen vergiftete der Angreifer daraufhin zwei dieser Nodes, sodass sie eine gefälschte Cross-Chain-Nachricht an das Verifizierungsnetzwerk übermittelten.
Gleichzeitig startete der Angreifer einen DDoS-Angriff auf saubere Nodes, was das DVN dazu zwang, sich auf die vergifteten Nodes zu verlassen. LayerZero sagte, diese Kombination habe es der gefälschten Nachricht ermöglicht, das System zu passieren und die Token-Freischaltung auszulösen, die zum Verlust führte.
Zusätzlich sagte LayerZero, der Schaden sei möglich geworden, weil Kelp DAO ein einziges 1-von-1 DVN-Setup ohne Backup-Verifizierer verwendete. Das Unternehmen sagte, dies habe einen Single Point of Failure geschaffen, der keine unabhängige Überprüfung zuließ, um die gefälschte Nachricht abzulehnen, bevor die Bridge Gelder freigab.
In seiner Erklärung sagte LayerZero, dass „der Betrieb einer Single-Point-of-Failure-Konfiguration bedeutete, dass es keinen unabhängigen Verifizierer gab, der eine gefälschte Nachricht erkennen und ablehnen konnte.“ Es hieß auch, dass „LayerZero und andere externe Parteien KelpDAO zuvor Best Practices zur DVN-Diversifizierung mitgeteilt hatten.“ Das Unternehmen fügte hinzu, dass es keine Nachrichten mehr für Anwendungen signieren wird, die ein 1/1 DVN-Setup verwenden.
Der Exploit verbreitete Stress im gesamten DeFi-Ökosystem, nachdem der Angreifer gestohlene rsETH zu Aave V3 verschob und diese als Sicherheit nutzte, um große Mengen WETH zu leihen. Dies löste Bedenken hinsichtlich potenzieller uneinbringlicher Forderungen auf Aave aus und führte dazu, dass das Protokoll die rsETH-Märkte sowohl auf V3 als auch auf V4 einfror.
Aave-Gründer Stani Kulechov sagte: „RsETH wurde auf Aave V3 und V4 eingefroren“ und fügte hinzu, dass der Vermögenswert aufgrund des Kelp DAO Bridge-Exploits keine Beleihungsmöglichkeit mehr besitzt. Historische Daten von Aavescan zeigten, dass nach dem Angriff mehr als 10 Milliarden US-Dollar Aave verlassen haben, wobei die insgesamt bereitgestellten Gelder von 45,8 Milliarden US-Dollar auf 35,7 Milliarden US-Dollar fielen.
Die Auswirkungen reichten über Aave hinaus. Mehrere DeFi-Protokolle, darunter Ethena, ether.fi, Tron DAO und Curve Finance, pausierten vorsorglich die LayerZero OFT Bridges.
Daten von DefiLlama zeigten, dass der Total Value Locked (TVL) im DeFi-Bereich innerhalb von 24 Stunden um 7% auf rund 86,3 Milliarden US-Dollar sank, von 99,5 Milliarden US-Dollar am 18. April. LayerZero sagte, es gebe „keine Ansteckung“ für andere Vermögenswerte oder Anwendungen, die Multi-DVN-Setups verwenden, während die Bemühungen der Strafverfolgungsbehörden zur Rückverfolgung der Gelder fortgesetzt werden.
