LayerZero 表示,北韓的 Lazarus 集團可能是 Kelp DAO 攻擊事件的幕後主使,該攻擊導致價值約 2.92 億美元的 116,500 rsETH 被竊。
該公司表示,初步跡象表明,這是一名「高度複雜的國家級行為者」,並在其最新聲明中點名「北韓的 Lazarus 集團,特別是 TraderTraitor」。
該攻擊發生於 4 月 18 日,並迅速成為今年迄今為止報告的最大規模 DeFi 攻擊事件。LayerZero 表示,攻擊者針對用於驗證跨鏈訊息的系統,使得虛假訊息得以通過並解鎖橋上的代幣。
LayerZero 表示,攻擊者取得了 LayerZero Labs 去中心化驗證網路(DVN)所使用的 RPC 節點列表。據該公司稱,攻擊者隨後毒化了其中兩個節點,使其向驗證器網路傳送了偽造的跨鏈訊息。
與此同時,攻擊者對未受感染的節點發動了 DDoS 攻擊,這迫使 DVN 依賴於被毒化的節點。LayerZero 表示,這種結合使得偽造的訊息得以通過系統,觸發代幣解鎖,最終導致損失。
此外,LayerZero 表示,損害之所以可能發生,是因為 Kelp DAO 採用了單一的 1-of-1 DVN 設定,沒有備用驗證器。該公司表示,這造成了單點故障,使得在橋釋放資金之前,沒有獨立的檢查機制來拒絕虛假訊息。
LayerZero 在其聲明中表示:「操作單點故障配置意味著沒有獨立的驗證器來捕捉並拒絕偽造的訊息。」它還說:「LayerZero 和其他外部合作夥伴此前曾向 KelpDAO 傳達了 DVN 多樣化的最佳實踐。」該公司補充說,它將不再為使用 1/1 DVN 設定的應用程式簽署訊息。
攻擊者將被盜的 rsETH 轉移到 Aave V3,並用其作為抵押品借出了大量 WETH,這在 DeFi 領域引發了壓力。這引發了對 Aave 可能出現壞帳的擔憂,並導致該協議凍結了 V3 和 V4 上的 rsETH 市場。
Aave 創始人 Stani Kulechov 表示:「RsETH 已在 Aave V3 和 V4 上被凍結」,並補充說該資產因 Kelp DAO 橋接漏洞攻擊而不再具有借貸能力。Aavescan 的歷史數據顯示,攻擊發生後,超過 100 億美元的資金從 Aave 流出,總供應資金從 458 億美元降至 357 億美元。
影響不僅限於 Aave。包括 Ethena、ether.fi、Tron DAO 和 Curve Finance 在內的多個 DeFi 協議,都作為預防措施暫停了 LayerZero OFT 橋接。
DefiLlama 數據顯示,DeFi 總鎖倉價值在 24 小時內下降了 7%,從 4 月 18 日的 995 億美元降至約 863 億美元。LayerZero 表示,「對於使用多 DVN 設定的其他資產或應用程式沒有任何傳染」,而執法部門追蹤資金的努力仍在繼續。
