LayerZero afirmou que o Lazarus Group da Coreia do Norte é o provável autor por trás do exploit da Kelp DAO que drenou 116.500 rsETH, avaliados em cerca de US$ 292 milhões.
A empresa afirmou que os primeiros indicadores apontam para um "ator estatal altamente sofisticado" e nomeou o "Lazarus Group da Coreia do Norte, mais especificamente TraderTraitor" em seu último comunicado.
O ataque ocorreu em 18 de abril e rapidamente se tornou o maior exploit de DeFi relatado este ano. LayerZero disse que o atacante mirou no sistema usado para verificar mensagens cross-chain, o que permitiu que uma mensagem falsa passasse e desbloqueasse tokens na bridge.
LayerZero disse que o atacante obteve acesso à lista de nós RPC usados pela rede verificada descentralizada (DVN) da LayerZero Labs. De acordo com a empresa, o atacante então "envenenou" dois desses nós para que eles entregassem uma mensagem cross-chain falsa à rede de verificadores.
Ao mesmo tempo, o atacante lançou um ataque DDoS contra nós "limpos", o que forçou a DVN a depender dos nós "envenenados". LayerZero disse que essa combinação permitiu que a mensagem forjada passasse pelo sistema e desencadeasse o desbloqueio de tokens que resultou na perda.
Além disso, LayerZero disse que o dano se tornou possível porque a Kelp DAO usava uma configuração de DVN única 1-de-1, sem um verificador de backup. A empresa afirmou que isso criou um único ponto de falha, não deixando nenhuma verificação independente para rejeitar a mensagem falsa antes que a bridge liberasse os fundos.
Em seu comunicado, LayerZero afirmou que "operar uma configuração de ponto único de falha significava que não havia um verificador independente para detectar e rejeitar uma mensagem forjada". Também disse que "LayerZero e outras partes externas comunicaram anteriormente as melhores práticas em torno da diversificação de DVN para a KelpDAO". A empresa acrescentou que não assinará mais mensagens para aplicações que usam uma configuração de DVN 1/1.
O exploit espalhou tensão por todo o DeFi depois que o atacante moveu rsETH roubados para a Aave V3 e os usou como garantia para tomar grandes quantidades de WETH emprestadas. Isso levantou preocupações sobre possíveis dívidas incobráveis na Aave e levou o protocolo a congelar os mercados de rsETH nas versões V3 e V4.
O fundador da Aave, Stani Kulechov, disse que "RsETH foi congelado na Aave V3 e V4" e acrescentou que o ativo não tem mais poder de empréstimo devido ao exploit da bridge da Kelp DAO. Dados históricos do Aavescan mostraram que mais de US$ 10 bilhões deixaram a Aave após o ataque, com os fundos totais fornecidos caindo para US$ 35,7 bilhões de US$ 45,8 bilhões.
As consequências se estenderam para além da Aave. Vários protocolos DeFi, incluindo Ethena, ether.fi, Tron DAO e Curve Finance, pausaram as bridges OFT da LayerZero como precaução.
Dados da DefiLlama mostraram que o valor total bloqueado (TVL) do DeFi caiu 7% em 24 horas para cerca de US$ 86,3 bilhões, abaixo dos US$ 99,5 bilhões em 18 de abril. LayerZero disse que há "contágio zero" para outros ativos ou aplicações usando configurações multi-DVN, enquanto os esforços das autoridades para rastrear os fundos continuam.
