LayerZero a declarat că Grupul Lazarus din Coreea de Nord este probabil actorul din spatele exploitului Kelp DAO care a drenat 116.500 rsETH în valoare de aproximativ 292 de milioane de dolari.
Compania a declarat că primele indicii arată un „actor statal extrem de sofisticat” și a numit „Grupul Lazarus al RPDC, mai precis TraderTraitor” în cea mai recentă declarație a sa.
Atacul a avut loc pe 18 aprilie și a devenit rapid cel mai mare exploit DeFi raportat anul acesta. LayerZero a declarat că atacatorul a vizat sistemul folosit pentru a verifica mesajele cross-chain, ceea ce a permis trecerea unui mesaj fals și deblocarea token-urilor pe bridge.
LayerZero a declarat că atacatorul a obținut acces la lista de noduri RPC utilizate de rețeaua descentralizată de verificatori (DVN) a LayerZero Labs. Potrivit companiei, atacatorul a otrăvit apoi două dintre aceste noduri, astfel încât acestea au livrat un mesaj cross-chain fals către rețeaua de verificatori.
În același timp, atacatorul a lansat un atac DDoS împotriva nodurilor curate, ceea ce a forțat DVN-ul să se bazeze pe nodurile otrăvite. LayerZero a declarat că această combinație a permis mesajului falsificat să treacă prin sistem și să declanșeze deblocarea token-urilor care a dus la pierdere.
În plus, LayerZero a declarat că paguba a devenit posibilă deoarece Kelp DAO a utilizat o configurație DVN unică de tip 1-din-1, fără un verificator de rezervă. Compania a declarat că aceasta a creat un punct unic de eșec, nelăsând nicio verificare independentă pentru a respinge mesajul fals înainte ca bridge-ul să elibereze fondurile.
În declarația sa, LayerZero a spus că „operarea unei configurații cu un singur punct de eșec a însemnat că nu a existat un verificator independent care să prindă și să respingă un mesaj falsificat”. De asemenea, a declarat că „LayerZero și alte părți externe au comunicat anterior cele mai bune practici privind diversificarea DVN către KelpDAO”. Compania a adăugat că nu va mai semna mesaje pentru aplicațiile care utilizează o configurație DVN de tip 1/1.
Exploitul a răspândit stres în întreaga zonă DeFi după ce atacatorul a mutat rsETH furate către Aave V3 și le-a folosit ca garanție pentru a împrumuta cantități mari de WETH. Acest lucru a stârnit îngrijorări cu privire la posibilele datorii neperformante pe Aave și a determinat protocolul să înghețe piețele rsETH atât pe V3, cât și pe V4.
Fondatorul Aave, Stani Kulechov, a declarat că „RsETH a fost înghețat pe Aave V3 și V4” și a adăugat că activul nu mai are putere de împrumut din cauza exploitului bridge-ului Kelp DAO. Datele istorice de la Aavescan au arătat că peste 10 miliarde de dolari au părăsit Aave după atac, cu fondurile totale furnizate scăzând la 35,7 miliarde de dolari de la 45,8 miliarde de dolari.
Consecințele s-au extins dincolo de Aave. Mai multe protocoale DeFi, inclusiv Ethena, ether.fi, Tron DAO și Curve Finance, au oprit bridge-urile LayerZero OFT ca măsură de precauție.
Datele DefiLlama au arătat că valoarea totală blocată (TVL) în DeFi a scăzut cu 7% în 24 de ore, la aproximativ 86,3 miliarde de dolari, de la 99,5 miliarde de dolari pe 18 aprilie. LayerZero a declarat că există „zero contagiune” pentru alte active sau aplicații care utilizează configurații multi-DVN, în timp ce eforturile forțelor de ordine de a urmări fondurile continuă.
