LayerZero zei dat de Noord-Koreaanse Lazarus Groep waarschijnlijk de dader is achter de Kelp DAO exploit die 116.500 rsETH ter waarde van ongeveer $292 miljoen heeft buitgemaakt.
Het bedrijf zei dat vroege indicatoren wijzen op een “zeer geavanceerde staatsactor” en noemde in zijn laatste verklaring “de Lazarus Groep van de DPRK, meer specifiek TraderTraitor”.
De aanval vond plaats op 18 april en werd snel de grootste DeFi exploit die dit jaar werd gemeld. LayerZero zei dat de aanvaller zich richtte op het systeem dat werd gebruikt om cross-chain berichten te verifiëren, waardoor een vals bericht kon passeren en tokens op de bridge ontgrendeld werden.
LayerZero zei dat de aanvaller toegang kreeg tot de lijst met RPC-knooppunten die werden gebruikt door LayerZero Labs' gedecentraliseerde geverifieerde netwerk, of DVN. Volgens het bedrijf vergiftigde de aanvaller vervolgens twee van die knooppunten, zodat ze een vals cross-chain bericht aan het verifiërende netwerk leverden.
Tegelijkertijd lanceerde de aanvaller een DDoS-aanval tegen schone knooppunten, wat de DVN ertoe aanzette om te vertrouwen op de vergiftigde knooppunten. LayerZero zei dat deze combinatie het vervalste bericht door het systeem liet bewegen en de token-ontgrendeling teweegbracht die leidde tot het verlies.
Bovendien zei LayerZero dat de schade mogelijk werd doordat Kelp DAO een enkele 1-op-1 DVN-configuratie gebruikte zonder back-up verifier. Het bedrijf zei dat dit een single point of failure creëerde, waardoor er geen onafhankelijke controle was om het valse bericht af te wijzen voordat de bridge fondsen vrijgaf.
In zijn verklaring zei LayerZero dat “het opereren van een single-point-of-failure configuratie betekende dat er geen onafhankelijke verifier was om een vervalst bericht op te vangen en af te wijzen.” Het zei ook dat “LayerZero en andere externe partijen eerder best practices rondom DVN-diversificatie aan KelpDAO hebben gecommuniceerd.” Het bedrijf voegde eraan toe dat het geen berichten meer zal ondertekenen voor applicaties die een 1/1 DVN-configuratie gebruiken.
De exploit verspreidde stress over DeFi nadat de aanvaller gestolen rsETH naar Aave V3 verplaatste en dit als onderpand gebruikte om grote hoeveelheden WETH te lenen. Dit wekte bezorgdheid over mogelijke oninbare schulden op Aave en leidde ertoe dat het protocol de rsETH-markten op zowel V3 als V4 bevroor.
Aave-oprichter Stani Kulechov zei: “RsETH is bevroren op Aave V3 en V4” en voegde eraan toe dat het activum geen leenkracht meer heeft vanwege de Kelp DAO bridge exploit. Historische gegevens van Aavescan toonden aan dat meer dan $10 miljard Aave verliet na de aanval, waarbij de totale geleverde fondsen daalden van $45,8 miljard naar $35,7 miljard.
De nasleep reikte verder dan Aave. Verschillende DeFi-protocollen, waaronder Ethena, ether.fi, Tron DAO en Curve Finance, pauzeerden de LayerZero OFT bridges als voorzorgsmaatregel.
Gegevens van DefiLlama toonden aan dat de totale waarde geblokkeerd (TVL) in DeFi in 24 uur met 7% daalde tot ongeveer $86,3 miljard, van $99,5 miljard op 18 april. LayerZero zei dat er “nul besmetting” is voor andere activa of applicaties die multi-DVN-configuraties gebruiken, terwijl de inspanningen van wetshandhavers om de fondsen te traceren voortduren.
