LayerZero повідомляє про атаку на KelpDAO: хакери, пов’язані з Північною Кореєю, викрали 116,500 rsETH (292 млн доларів) 18 квітня

Згідно зі звітом про інцидент LayerZero Labs, 18 квітня був атакований кросчейн-мост rsETH, унаслідок чого викрали 116 500 rsETH (приблизно 292 мільйона доларів). Mandiant, CrowdStrike та незалежні дослідники приписали атаку хакерській групі TraderTraitor (UNC4899), пов’язаній із Північною Кореєю.

Атака почалася 6 березня через соціальну інженерію проти акаунтів розробників LayerZero. Зловмисники отримали session keys, проникли в середовища RPC cloud і отруїли внутрішні дані RPC-ноду, щоб згенерувати фальшиві кросчейн-докази. Далі вони запустили атаки типу відмова в обслуговуванні проти зовнішніх провайдерів RPC, змусивши систему верифікації покладатися на скомпрометовані ноди. Ключова вразливість: уражений застосунок використовував конфігурацію з одним верифікатором, що дозволяло вивільнення активів після отримання лише однієї дійсної підпису.

LayerZero Labs заявила, що скоригує стратегії безпеки, заборонивши її DVN виступати єдиним сінером у налаштуваннях з одним верифікатором, перебудує уражену хмарну інфраструктуру та впровадить короткоживучі облікові дані, негайне підвищення привілеїв і механізми багатого погодження. zeroShadow і правоохоронні органи розпочали розслідування та відстеження активів.