LayerZero cho biết nhóm Lazarus của Triều Tiên nhiều khả năng là thủ phạm đứng sau vụ khai thác Kelp DAO, làm mất 116.500 rsETH trị giá khoảng 292 triệu đô la.
Công ty cho biết các dấu hiệu ban đầu cho thấy đây là một “thế lực nhà nước rất tinh vi” và trong tuyên bố mới nhất của mình, đã nêu tên “Nhóm Lazarus của Triều Tiên, cụ thể hơn là TraderTraitor”.
Vụ tấn công xảy ra vào ngày 18 tháng 4 và nhanh chóng trở thành vụ khai thác DeFi lớn nhất được ghi nhận trong năm nay. LayerZero cho biết kẻ tấn công đã nhắm vào hệ thống dùng để xác minh các tin nhắn cross-chain, cho phép một tin nhắn sai lệch đi qua và mở khóa token trên cầu nối.
LayerZero cho biết kẻ tấn công đã truy cập vào danh sách các node RPC được sử dụng bởi mạng xác minh phi tập trung (DVN) của LayerZero Labs. Theo công ty, kẻ tấn công sau đó đã làm nhiễm độc hai trong số các node đó để chúng gửi một tin nhắn cross-chain giả mạo đến mạng lưới xác minh.
Đồng thời, kẻ tấn công đã phát động một cuộc tấn công DDoS vào các node sạch, buộc DVN phải dựa vào các node bị nhiễm độc. LayerZero cho biết sự kết hợp này đã cho phép tin nhắn giả mạo di chuyển qua hệ thống và kích hoạt việc mở khóa token, dẫn đến tổn thất.
Ngoài ra, LayerZero cho biết thiệt hại có thể xảy ra do Kelp DAO đã sử dụng cấu hình DVN đơn lẻ 1-trên-1 mà không có trình xác minh dự phòng. Công ty cho biết điều này đã tạo ra một điểm lỗi duy nhất, không có kiểm tra độc lập nào để từ chối tin nhắn giả mạo trước khi cầu nối giải phóng tiền.
Trong tuyên bố của mình, LayerZero cho biết “việc vận hành một cấu hình điểm lỗi duy nhất có nghĩa là không có trình xác minh độc lập nào để phát hiện và từ chối một tin nhắn giả mạo.” Công ty cũng nói rằng “LayerZero và các bên ngoài khác trước đây đã truyền đạt các phương pháp hay nhất về đa dạng hóa DVN cho KelpDAO.” Công ty nói thêm rằng họ sẽ không còn ký các tin nhắn cho các ứng dụng sử dụng cấu hình DVN 1/1 nữa.
Vụ khai thác đã gây ra căng thẳng trên toàn bộ DeFi sau khi kẻ tấn công chuyển rsETH bị đánh cắp sang Aave V3 và sử dụng nó làm tài sản thế chấp để vay một lượng lớn WETH. Điều này làm dấy lên lo ngại về khả năng nợ xấu trên Aave và khiến giao thức phải đóng băng thị trường rsETH trên cả V3 và V4.
Người sáng lập Aave, Stani Kulechov, cho biết “RsETH đã bị đóng băng trên Aave V3 và V4” và nói thêm rằng tài sản này không còn khả năng cho vay do vụ khai thác cầu nối Kelp DAO. Dữ liệu lịch sử từ Aavescan cho thấy hơn 10 tỷ đô la đã rời khỏi Aave sau vụ tấn công, với tổng số tiền được cung cấp giảm xuống 35,7 tỷ đô la từ 45,8 tỷ đô la.
Hậu quả đã lan rộng ra ngoài Aave. Một số giao thức DeFi, bao gồm Ethena, ether.fi, Tron DAO và Curve Finance, đã tạm dừng các cầu nối LayerZero OFT như một biện pháp phòng ngừa.
Dữ liệu từ DefiLlama cho thấy tổng giá trị bị khóa (TVL) trong DeFi đã giảm 7% trong 24 giờ xuống còn khoảng 86,3 tỷ đô la, giảm từ 99,5 tỷ đô la vào ngày 18 tháng 4. LayerZero cho biết không có “lây lan” nào đối với các tài sản hoặc ứng dụng khác sử dụng cấu hình DVN đa dạng, trong khi các nỗ lực thực thi pháp luật để truy tìm tiền vẫn đang tiếp tục.
