LayerZero dijo que el Grupo Lazarus de Corea del Norte es el probable actor detrás del exploit de Kelp DAO que drenó 116,500 rsETH valorados en aproximadamente $292 millones.
La compañía dijo que los primeros indicadores apuntan a un “actor estatal altamente sofisticado” y nombró al “Grupo Lazarus de la RPDC, más específicamente a TraderTraitor” en su último comunicado.
El ataque tuvo lugar el 18 de abril y rápidamente se convirtió en el exploit DeFi más grande reportado este año. LayerZero dijo que el atacante apuntó al sistema utilizado para verificar mensajes de cadena cruzada, lo que permitió que un mensaje falso pasara y desbloqueara tokens en el puente.
LayerZero dijo que el atacante obtuvo acceso a la lista de nodos RPC utilizados por la red verificada descentralizada de LayerZero Labs, o DVN. Según la compañía, el atacante luego envenenó dos de esos nodos para que entregaran un mensaje de cadena cruzada falso a la red de verificadores.
Al mismo tiempo, el atacante lanzó un ataque DDoS contra nodos limpios, lo que obligó a la DVN a depender de los nodos envenenados. LayerZero dijo que esta combinación permitió que el mensaje falsificado pasara por el sistema y activara el desbloqueo de tokens que llevó a la pérdida.
Además, LayerZero dijo que el daño fue posible porque Kelp DAO usó una configuración DVN única de 1-de-1 sin un verificador de respaldo. La compañía dijo que esto creó un punto único de falla, sin dejar ninguna verificación independiente para rechazar el mensaje falso antes de que el puente liberara los fondos.
En su declaración, LayerZero dijo que “operar una configuración de punto único de falla significó que no había un verificador independiente para detectar y rechazar un mensaje falsificado”. También dijo que “LayerZero y otras partes externas comunicaron previamente las mejores prácticas sobre la diversificación de DVN a KelpDAO”. La compañía agregó que ya no firmará mensajes para aplicaciones que utilicen una configuración DVN 1/1.
El exploit extendió la tensión en todo DeFi después de que el atacante moviera los rsETH robados a Aave V3 y los usara como garantía para pedir prestadas grandes cantidades de WETH. Esto generó preocupación sobre una posible deuda incobrable en Aave y llevó al protocolo a congelar los mercados de rsETH tanto en V3 como en V4.
El fundador de Aave, Stani Kulechov, dijo que “RsETH ha sido congelado en Aave V3 y V4” y agregó que el activo ya no tiene poder de préstamo debido al exploit del puente de Kelp DAO. Datos históricos de Aavescan mostraron que más de $10 mil millones salieron de Aave después del ataque, con un total de fondos suministrados cayendo a $35.7 mil millones desde $45.8 mil millones.
Las consecuencias se extendieron más allá de Aave. Varios protocolos DeFi, incluidos Ethena, ether.fi, Tron DAO y Curve Finance, pausaron los puentes OFT de LayerZero como precaución.
Los datos de DefiLlama mostraron que el valor total bloqueado (TVL) de DeFi cayó un 7% en 24 horas a aproximadamente $86.3 mil millones, desde $99.5 mil millones el 18 de abril. LayerZero dijo que no hay “contagio cero” para otros activos o aplicaciones que utilizan configuraciones multi-DVN, mientras que los esfuerzos de las fuerzas del orden para rastrear los fondos continúan.
