LayerZero poinformowało, że północnokoreańska Grupa Lazarus jest prawdopodobnym sprawcą exploita Kelp DAO, który doprowadził do wycieku 116 500 rsETH o wartości około 292 milionów dolarów.
Firma podała, że wczesne wskaźniki wskazują na „wysoce wyrafinowanego aktora państwowego” i w swoim najnowszym oświadczeniu wymieniła „grupę Lazarus KRLD, a konkretnie TraderTraitor”.
Atak miał miejsce 18 kwietnia i szybko stał się największym exploitem DeFi odnotowanym w tym roku. LayerZero podało, że atakujący celował w system używany do weryfikacji wiadomości międzyłańcuchowych, co umożliwiło przejściu fałszywej wiadomości i odblokowanie tokenów na moście.
LayerZero poinformowało, że atakujący uzyskał dostęp do listy węzłów RPC używanych przez zdecentralizowaną sieć weryfikacyjną LayerZero Labs, czyli DVN. Według firmy, atakujący następnie zatruł dwa z tych węzłów, tak aby dostarczyły fałszywą wiadomość międzyłańcuchową do sieci weryfikatorów.
Jednocześnie atakujący przeprowadził atak DDoS na czyste węzły, co zmusiło DVN do polegania na zatrutych węzłach. LayerZero stwierdziło, że ta kombinacja pozwoliła sfałszowanej wiadomości przejść przez system i wywołać odblokowanie tokenów, co doprowadziło do straty.
Ponadto LayerZero podało, że szkoda stała się możliwa, ponieważ Kelp DAO używało pojedynczej konfiguracji DVN 1-do-1 bez weryfikatora zapasowego. Firma stwierdziła, że stworzyło to pojedynczy punkt awarii, nie pozostawiając niezależnej kontroli do odrzucenia fałszywej wiadomości, zanim most uwolnił środki.
W swoim oświadczeniu LayerZero podało, że „działanie w konfiguracji z pojedynczym punktem awarii oznaczało brak niezależnego weryfikatora, który mógłby wykryć i odrzucić sfałszowaną wiadomość”. Stwierdziło również, że „LayerZero i inne strony zewnętrzne wcześniej komunikowały KelpDAO najlepsze praktyki dotyczące dywersyfikacji DVN”. Firma dodała, że nie będzie już podpisywać wiadomości dla aplikacji, które używają konfiguracji DVN 1/1.
Exploit wywołał napięcie w całym ekosystemie DeFi po tym, jak atakujący przeniósł skradzione rsETH do Aave V3 i użył ich jako zabezpieczenia do pożyczenia dużych ilości WETH. Wywołało to obawy o potencjalne złe długi na Aave i skłoniło protokół do zamrożenia rynków rsETH zarówno na V3, jak i V4.
Założyciel Aave, Stani Kulechov, powiedział: „RsETH zostało zamrożone na Aave V3 i V4” i dodał, że aktywo nie posiada już zdolności kredytowej z powodu exploita mostu Kelp DAO. Historyczne dane z Aavescan wykazały, że po ataku z Aave wycofano ponad 10 miliardów dolarów, a całkowita wartość dostarczonych środków spadła do 35,7 miliarda dolarów z 45,8 miliarda dolarów.
Konsekwencje rozprzestrzeniły się poza Aave. Kilka protokołów DeFi, w tym Ethena, ether.fi, Tron DAO i Curve Finance, wstrzymało mosty LayerZero OFT jako środek ostrożności.
Dane DefiLlama pokazały, że całkowita wartość zablokowana (TVL) w DeFi spadła o 7% w ciągu 24 godzin do około 86,3 miliarda dolarów, z 99,5 miliarda dolarów 18 kwietnia. LayerZero stwierdziło, że istnieje „zero zarażenia” dla innych aktywów lub aplikacji używających konfiguracji wielo-DVN, podczas gdy wysiłki organów ścigania w celu śledzenia środków są kontynuowane.
