Wykorzystanie luki, które doprowadziło do wypompowania około 292 milionów dolarów z międzyłańcuchowego mostu KelpDAO w weekend, było „prawdopodobnie” dziełem północnokoreańskiej Grupy Lazarus, a konkretnie jej podjednostki TraderTraitor, jak podało LayerZero w poniedziałkowej wstępnej analizie.
Atakujący wypompowali 116 500 rsETH, płynnego tokena restakingowego wspieranego przez zastawiony ether, z mostu KelpDAO w sobotę, co zapoczątkowało falę wypłat w sektorze zdecentralizowanych finansów, która wyciągnęła ponad 10 miliardów dolarów z protokołu pożyczkowego Aave.
Atak nosił znamiona „wysoce wyrafinowanego podmiotu państwowego, prawdopodobnie północnokoreańskiej Grupy Lazarus”, podało LayerZero, precyzując, że chodzi o podjednostkę TraderTraitor.
Północnokoreańskie operacje cybernetyczne są prowadzone przez Biuro Rozpoznania Ogólnego, które obejmuje kilka odrębnych jednostek, w tym TraderTraitor, AppleJeus, APT38 i DangerousPassword, zgodnie z analizą badacza Paradigm, Samczsuna.
https://t.co/3vIHs3Xgs4
— LayerZero (@LayerZero_Core) April 20, 2026
Wśród tych podjednostek TraderTraitor został uznany za najbardziej wyrafinowanego aktora z KRLD atakującego kryptowaluty, wcześniej powiązanego z naruszeniami mostu Axie Infinity Ronin i WazirX.
LayerZero podało, że KelpDAO używało pojedynczego weryfikatora do zatwierdzania transferów do i z mostu, dodając, że wielokrotnie namawiało KelpDAO do używania wielu weryfikatorów.
W przyszłości LayerZero zapowiedziało, że przestanie zatwierdzać wiadomości dla wszelkich aplikacji działających w tej konfiguracji.
Obserwatorzy twierdzą, że wykorzystanie luki ujawniło, jak most został zbudowany tak, aby polegać na pojedynczym weryfikatorze.
Był to „pojedynczy punkt awarii, niezależnie od tego, jak nazywa to marketing”, powiedział Decrypt Shalev Keren, współzałożyciel firmy Sodot zajmującej się bezpieczeństwem kryptograficznym.
Pojedynczy skompromitowany punkt kontrolny wystarczył, aby umożliwić wypływ środków z mostu, a żadna kontrola ani przegląd bezpieczeństwa nie mogłyby naprawić tej wady bez „usunięcia jednostronnego zaufania z samej architektury”, powiedział Keren.
Tę opinię podzielił Haoze Qiu, Blockchain Lead w Grvt, który argumentował, że "Kelp DAO wydaje się akceptować konfigurację bezpieczeństwa mostu z zbyt małą redundancją dla aktywów tej skali", dodając, że LayerZero "ponosi również odpowiedzialność", biorąc pod uwagę, że "kompromitacja dotyczyła infrastruktury związanej z jego stosem walidatorów, nawet jeśli nie zostało to opisane jako błąd protokołu rdzeniowego".
Atakujący byli o trzy minuty od wypompowania kolejnych 100 milionów dolarów, zanim szybka czarna lista ich odcięła, zgodnie z analizą firmy Cyvers zajmującej się bezpieczeństwem blockchain. Operacja polegała na oszukaniu pojedynczego kanału komunikacji, powiedział Decrypt Meir Dolev, CTO w Cyvers.
Atakujący wykorzystali dwie linie, których weryfikator używał do sprawdzania, czy wypłata faktycznie nastąpiła na Unichain, wprowadzili fałszywe „tak” na tych liniach, a następnie wyłączyli pozostałe linie, aby zmusić weryfikatora do polegania na skompromitowanych.
„Skarbiec był w porządku. Strażnik był uczciwy. Mechanizm drzwi działał poprawnie” – powiedział Dolev. „Kłamstwo zostało wyszeptane bezpośrednio do jedynej strony, której słowo otwierało drzwi”.
Ale podczas gdy LayerZero, którego infrastruktura zasilała opróżniony most, wskazało Lazarus jako prawdopodobnego sprawcę, Cyvers w swojej analizie powstrzymał się od tego samego przypisania.
Niektóre wzorce odpowiadają operacjom powiązanym z KRLD pod względem wyrafinowania, skali i skoordynowanego wykonania, powiedział Dolev, ale nie potwierdzono grupowania portfeli powiązanych z grupą.
Złośliwe oprogramowanie węzła zostało zaprojektowane tak, aby samoczynnie się usuwać po zakończeniu ataku, kasując pliki binarne i logi, aby zaciemnić ślad atakujących w czasie rzeczywistym i po fakcie, dodał.
Na początku tego miesiąca atakujący wypompowali około 285 milionów dolarów z protokołu wieczystych kontraktów Drift opartego na Solanie, w wykorzystaniu luki później przypisanym północnokoreańskim operatorom.
Dolev zauważył, że atak na Drift był „bardzo różny pod względem przygotowań i wykonania”, ale oba ataki wymagały długiego czasu przygotowań, głębokiej wiedzy i znacznych zasobów, aby je przeprowadzić.
Cyvers podejrzewa, że skradzione środki zostały przekazane na ten adres Ethereum, co jest zgodne z osobnym raportem śledczego on-chain ZachXBT, który wskazał go obok czterech innych. Adresy atakujących były zasilane przez mikser monet Tornado Cash, według ZachXBT.
