Sinabi ng LayerZero na ang Lazarus Group ng North Korea ang posibleng salarin sa likod ng Kelp DAO exploit na nakaubos ng 116,500 rsETH na nagkakahalaga ng humigit-kumulang $292 milyon.
Sinabi ng kumpanya na ipinahihiwatig ng mga unang indikasyon ang isang “lubhang sopistikadong ahente ng estado” at pinangalanan ang “Lazarus Group ng DPRK, partikular ang TraderTraitor” sa pinakabagong pahayag nito.
Naganap ang pag-atake noong Abril 18 at mabilis itong naging pinakamalaking DeFi exploit na naiulat ngayong taon. Sinabi ng LayerZero na tinarget ng attacker ang sistema na ginagamit upang i-verify ang mga cross-chain na mensahe, na nagpahintulot sa isang maling mensahe na makalusot at mag-unlock ng mga token sa tulay.
Sinabi ng LayerZero na nakakuha ng access ang attacker sa listahan ng mga RPC node na ginagamit ng decentralized verified network, o DVN, ng LayerZero Labs. Ayon sa kumpanya, nilason ng attacker ang dalawa sa mga node na iyon upang maghatid ng pekeng cross-chain na mensahe sa verifier network.
Kasabay nito, naglunsad ang attacker ng DDoS attack laban sa mga malinis na node, na nagtulak sa DVN na umasa sa mga nilason na node. Sinabi ng LayerZero na ang kombinasyong ito ang nagpahintulot sa pekeng mensahe na dumaan sa sistema at mag-trigger ng token unlock na humantong sa pagkawala.
Bilang karagdagan, sinabi ng LayerZero na naging posible ang pinsala dahil gumamit ang Kelp DAO ng iisang 1-of-1 DVN setup na walang backup verifier. Sinabi ng kumpanya na lumikha ito ng isang punto ng pagkabigo, na walang independenteng pagsusuri upang tanggihan ang pekeng mensahe bago ilabas ng tulay ang mga pondo.
Sa pahayag nito, sinabi ng LayerZero na “ang pagpapatakbo ng single-point-of-failure configuration ay nangahulugan na walang independenteng verifier na makakahuli at tatanggi sa isang pekeng mensahe.” Sinabi rin nito na “ang LayerZero at iba pang panlabas na partido ay dati nang ipinaalam ang mga pinakamahusay na kasanayan sa DVN diversification sa KelpDAO.” Idinagdag ng kumpanya na hindi na ito pipirma ng mga mensahe para sa mga aplikasyon na gumagamit ng 1/1 DVN setup.
Nagkalat ng stress sa buong DeFi ang exploit matapos ilipat ng attacker ang ninakaw na rsETH sa Aave V3 at ginamit ito bilang kolateral upang humiram ng malalaking halaga ng WETH. Nagdulot ito ng pag-aalala sa posibleng masamang utang sa Aave at nagtulak sa protocol na i-freeze ang mga market ng rsETH sa V3 at V4.
Sinabi ng tagapagtatag ng Aave na si Stani Kulechov na “Ang RsETH ay na-freeze sa Aave V3 at V4” at idinagdag na wala nang borrowing power ang asset dahil sa Kelp DAO bridge exploit. Ipinakita ng historical data mula sa Aavescan na mahigit $10 bilyon ang umalis sa Aave pagkatapos ng pag-atake, kung saan bumaba ang kabuuang pondong ibinigay sa $35.7 bilyon mula sa $45.8 bilyon.
Lumaganap ang epekto lampas sa Aave. Ilang DeFi protocol, kabilang ang Ethena, ether.fi, Tron DAO, at Curve Finance, ang nag-pause ng mga LayerZero OFT bridge bilang pag-iingat.
Ipinakita ng data ng DefiLlama na ang kabuuang halaga na naka-lock (TVL) ng DeFi ay bumaba ng 7% sa loob ng 24 na oras sa humigit-kumulang $86.3 bilyon, mula sa $99.5 bilyon noong Abril 18. Sinabi ng LayerZero na “walang pagkalat ng problema” para sa ibang mga asset o aplikasyon na gumagamit ng multi-DVN setup, habang patuloy ang mga pagsisikap ng pagpapatupad ng batas upang subaybayan ang mga pondo.
