Vụ khai thác đã rút khoảng 292 triệu USD từ cầu nối chuỗi chéo của KelpDAO vào cuối tuần qua "khả năng cao" là tác phẩm của Nhóm Lazarus của Triều Tiên, cụ thể là đơn vị con TraderTraitor của nhóm này, LayerZero cho biết trong một phân tích sơ bộ vào thứ Hai.

Kẻ tấn công đã rút 116.500 rsETH, một token restaking thanh khoản được hỗ trợ bởi ether đã stake, từ cầu nối KelpDAO vào thứ Bảy, gây ra các đợt rút tiền trên toàn ngành tài chính phi tập trung, khiến hơn 10 tỷ USD bị rút khỏi giao thức cho vay Aave.

LayerZero cho biết vụ tấn công mang dấu hiệu của "một tác nhân nhà nước cực kỳ tinh vi, khả năng cao là Nhóm Lazarus của CHDCND Triều Tiên," và chỉ rõ đơn vị con TraderTraitor của nhóm này.

Các hoạt động mạng của Triều Tiên được điều hành dưới sự chỉ đạo của Cục Trinh sát Tổng hợp, bao gồm nhiều đơn vị riêng biệt, trong đó có TraderTraitor, AppleJeus, APT38 và DangerousPassword, theo phân tích của nhà nghiên cứu Samczsun từ Paradigm.

Trong số các đơn vị con này, TraderTraitor đã được xác định là tác nhân CHDCND Triều Tiên tinh vi nhất nhắm vào tiền điện tử, từng liên quan đến các vụ tấn công cầu nối Ronin của Axie Infinity và WazirX.

LayerZero cho biết KelpDAO đã sử dụng một trình xác minh duy nhất để phê duyệt các giao dịch chuyển tiền ra và vào cầu nối, đồng thời cho biết họ đã liên tục thúc giục KelpDAO sử dụng nhiều trình xác minh hơn.

Trong thời gian tới, LayerZero cho biết sẽ ngừng phê duyệt tin nhắn cho bất kỳ ứng dụng nào vẫn đang chạy cấu hình đó.

Điểm lỗi đơn lẻ

Các nhà quan sát cho rằng vụ khai thác đã phơi bày cách cầu nối được xây dựng để tin cậy vào một trình xác minh duy nhất.

Shalev Keren, đồng sáng lập công ty bảo mật mật mã Sodot, nói với Decrypt rằng đó là "một điểm lỗi đơn lẻ, bất kể tiếp thị gọi nó là gì."

Một điểm kiểm tra bị xâm phạm là đủ để cho phép tiền rời khỏi cầu nối, và không có cuộc kiểm toán hay đánh giá bảo mật nào có thể khắc phục được lỗi đó nếu không "loại bỏ sự tin cậy đơn phương khỏi chính kiến trúc," Keren nói.

Quan điểm này cũng được lặp lại bởi Haoze Qiu, Trưởng nhóm Blockchain tại Grvt, người đã lập luận rằng, "Kelp DAO dường như đã chấp nhận một thiết lập bảo mật cầu nối với quá ít dự phòng cho một tài sản ở quy mô này," đồng thời thêm rằng LayerZero "cũng có trách nhiệm giải trình" vì "sự cố liên quan đến cơ sở hạ tầng gắn liền với ngăn xếp trình xác thực của họ, ngay cả khi điều này không được mô tả là một lỗi giao thức cốt lõi."

Kẻ tấn công chỉ còn ba phút nữa là rút thêm 100 triệu USD trước khi một danh sách đen nhanh chóng chặn chúng lại, theo phân tích của công ty bảo mật blockchain Cyvers. Hoạt động này dựa trên việc lừa một kênh liên lạc duy nhất, CTO Cyvers Meir Dolev nói với Decrypt.

Kẻ tấn công đã khai thác hai trong số các đường dây mà trình xác minh sử dụng để kiểm tra xem một giao dịch rút tiền có thực sự xảy ra trên Unichain hay không, đưa cho nó một câu trả lời “có” giả mạo trên các đường dây đó, sau đó ngắt kết nối các đường dây còn lại để buộc trình xác minh phải dựa vào các đường dây bị xâm phạm.

"Kho tiền vẫn ổn. Người gác cổng trung thực. Cơ chế cửa hoạt động chính xác," Dolev nói. "Lời nói dối đã được thì thầm trực tiếp vào tai bên duy nhất có quyền mở cửa."

Nhưng trong khi LayerZero, đơn vị cung cấp cơ sở hạ tầng cho cầu nối bị rút tiền, chỉ ra Lazarus là thủ phạm có khả năng cao, Cyvers đã không đưa ra cùng một sự quy kết trong phân tích của riêng mình.

Một số mô hình khớp với các hoạt động liên quan đến CHDCND Triều Tiên về sự tinh vi, quy mô và thực hiện phối hợp, Dolev nói, nhưng chưa có sự xác nhận về nhóm ví liên quan đến nhóm này.

Phần mềm node độc hại được thiết kế để tự xóa sau khi vụ tấn công kết thúc, xóa các tệp nhị phân và nhật ký để che giấu dấu vết của kẻ tấn công trong thời gian thực và trong quá trình điều tra sau đó, ông nói thêm.

Đầu tháng này, kẻ tấn công đã rút khoảng 285 triệu USD từ giao thức phái sinh vĩnh cửu Drift dựa trên Solana, trong một vụ khai thác sau đó được quy cho các đặc vụ Triều Tiên.

Dolev lưu ý rằng vụ hack Drift "rất khác về sự chuẩn bị và thực hiện," nhưng cả hai vụ tấn công đều đòi hỏi thời gian chuẩn bị dài, chuyên môn sâu và nguồn lực đáng kể để thực hiện.

Cyvers nghi ngờ rằng số tiền bị đánh cắp đã được chuyển đến địa chỉ Ethereum này, phù hợp với một báo cáo riêng từ nhà điều tra on-chain ZachXBT, người đã đánh dấu nó cùng với bốn địa chỉ khác. Các địa chỉ tấn công đã được cấp vốn thông qua bộ trộn tiền Tornado Cash, theo ZachXBT.