LayerZero relata ataque ao KelpDAO: hackers com ligações à Coreia do Norte roubam 116.500 rsETH (US$ 292 milhões) em 18 de abril

De acordo com o relatório de incidente da LayerZero Labs, em 18 de abril, a ponte cross-chain de rsETH foi atacada, resultando na subtração de 116.500 rsETH (aproximadamente US$ 292 milhões). Mandiant, CrowdStrike e pesquisadores independentes atribuíram o ataque ao grupo de hackers ligado à Coreia do Norte TraderTraitor (UNC4899).

O ataque começou em 6 de março por meio de engenharia social visando contas de desenvolvedores da LayerZero. Os atacantes obtiveram chaves de sessão, se infiltraram em ambientes de RPC em nuvem e envenenaram dados internos de nós RPC para gerar provas cross-chain fraudulentas. Em seguida, lançaram ataques de negação de serviço contra provedores externos de RPC, forçando o sistema de verificação a depender de nós comprometidos. A vulnerabilidade central: a aplicação afetada usava uma configuração de único verificador, permitindo a liberação de ativos após receber apenas uma única assinatura válida.

A LayerZero Labs afirmou que vai ajustar as estratégias de segurança ao proibir que seu DVN atue como o único signatário em configurações de verificador único, reconstruir a infraestrutura em nuvem afetada e implementar credenciais de curta duração, escalonamento imediato de privilégios e mecanismos de múltiplas aprovações. zeroShadow e as autoridades de aplicação da lei iniciaram a investigação e o rastreamento dos ativos.