LayerZero сообщает об атаке KelpDAO: хакеры, связанные с Северной Кореей, украли 116 500 rsETH (292 млн долларов) 18 апреля

В инцидентном отчёте LayerZero Labs говорится, что 18 апреля был атакован кросс-чейн мост rsETH, в результате чего было похищено 116 500 rsETH (примерно 292 миллиона долларов). Mandiant, CrowdStrike и независимые исследователи связали атаку с северокорейской хакерской группировкой TraderTraitor (UNC4899).

Атака началась 6 марта через социальную инженерию, направленную на аккаунты разработчиков LayerZero. Злоумышленники получили ключи сессий, проникли в облачные среды RPC и внедрили вредоносные данные во внутренние RPC-узлы, чтобы сгенерировать поддельные кросс-чейн-доказательства. Затем они запустили атаки типа отказ в обслуживании против внешних провайдеров RPC, заставив систему верификации полагаться на скомпрометированные узлы. Ключевая уязвимость: в затронутом приложении использовалась конфигурация с одним верификатором, что позволяло выпускать активы после получения всего одной действительной подписи.

LayerZero Labs заявила, что скорректирует стратегии безопасности, запретив DVN выступать в качестве единственного подписанта в сценариях с одним верификатором, восстановив затронутую облачную инфраструктуру и внедрив краткоживущие учётные данные, немедленное повышение привилегий и механизмы многоступенчатого одобрения. zeroShadow и правоохранительные органы начали расследование и отслеживание активов.