Kelp DAO 黑客事件归因于 Lazarus Group；eth.limo 通过社工攻击遭域名劫持

Gate News 消息，4 月 20 日 — LayerZero 发布了关于 4 月 18 日发生的 Kelp DAO 漏洞利用事件的初步调查结果，将此次攻击归因于一名高度复杂的国家支持型威胁行为体，可能是朝鲜的 Lazarus Group 子团体 TraderTraitor。 该事件导致损失 116,500 枚 rsETH 代币，价值约 $292 百万美元，成为今年规模最大的 DeFi 漏洞利用。

根据 LayerZero 的调查，攻击者获得了 LayerZero Labs 的去中心化验证器网络 (DVN) 所使用的 RPC 节点列表访问权限——一个由独立实体组成的系统，负责验证跨链消息。 其中两个节点被投毒以传输一条伪造消息，而攻击者同时对未受影响的节点发起了分布式拒绝服务攻击（DDoS）。 由于 Kelp DAO 在其桥接中配置了单一的 1-of-1 DVN 设置，并且没有使用二级验证器来检测或拒绝该伪造交易，因此伪造消息被接受。 LayerZero 此前已建议 Kelp DAO 对其 DVN 配置进行多样化。 作为回应，LayerZero 宣布将不再为使用 1/1 DVN 配置的应用签署消息，并正与执法部门合作追踪被盗资金。

另据以太坊名称服务网关 eth.limo 披露，其在周五 4 月 18 日发生的域名劫持是由针对其服务提供商 easyDNS 的社工攻击导致的。 攻击者冒充 eth.limo 团队成员，并启动了账户恢复流程，获得了对 eth.limo 账户的访问权限，同时修改 DNS 设置以将流量重定向至由 Cloudflare 控制的基础设施。 该平台为大约 200 万个使用 .eth 域名系统的去中心化网站提供服务。 但是，域名系统安全扩展 (DNSSEC) 通过为 DNS 记录加入加密验证来限制损害；由于攻击者缺少所需的签名密钥，许多 DNS 解析器拒绝了被篡改的记录，从而阻止了恶意重定向。 EasyDNS 首席执行官 Mark Jeftovic 承认这次泄露是该公司 28 年历史中首次针对 easyDNS 客户端成功实施的社工攻击，并表示公司正在实施安全改进，以防止类似事件发生。