Хак Kelp DAO, приписаний групі Lazarus; домен eth.limo перехоплено через соціальну інженерію

Повідомлення Gate News, 20 квітня — LayerZero оприлюднила попередні висновки щодо експлойту Kelp DAO, який стався 18 квітня, приписавши атаку дуже складному загрозному актору, що підтримується державою, імовірно підгрупі Lazarus Group із Північної Кореї, відомій як TraderTraitor. Інцидент спричинив втрату 116 500 токенів rsETH вартістю приблизно $292 мільйона, що стало найбільшим експлойтом DeFi цього року.

Згідно з розслідуванням LayerZero, атакувальники отримали доступ до списку RPC-вузлів, які використовує децентралізована мережа верифікаторів (DVN) від LayerZero Labs — система незалежних організацій, відповідальних за валідацію повідомлень між ланцюгами. Два вузли було отруєно, щоб передати шахрайське повідомлення, тоді як атакувальники одночасно запустили розподілену атаку типу відмова в обслуговуванні на незакомпрометовані вузли. Підроблене повідомлення було прийнято, оскільки Kelp DAO налаштувала свій міст із однією конфігурацією 1-of-1 DVN без вторинного верифікатора для виявлення або відхилення шахрайської транзакції. Раніше LayerZero радив Kelp DAO урізноманітнити конфігурацію DVN. У відповідь LayerZero оголосила, що більше не підписуватиме повідомлення для застосунків, які використовують конфігурації 1/1 DVN, і співпрацює з правоохоронними органами для відстеження викрадених коштів.

Окремо Ethereum Name Service шлюз eth.limo повідомив, що перехоплення його домену в п’ятницю, 18 квітня, було спричинено атакою соціальної інженерії, націленою на його постачальника послуг easyDNS. Зловмисник видав себе за члена команди eth.limo та ініціював процес відновлення облікового запису, отримавши доступ до облікового запису eth.limo і змінивши налаштування DNS, щоб перенаправити трафік на інфраструктуру під контролем Cloudflare. Платформа обслуговує приблизно два мільйони децентралізованих вебсайтів, використовуючи систему доменів .eth. Однак розширення безпеки системи доменних імен (DNSSEC) обмежило шкоду, додавши криптографічну верифікацію до записів DNS; оскільки атакувальник не мав необхідних ключів для підпису, багато DNS-рекурсорів відхилили змінені записи, не дозволивши шкідливі перенаправлення. Генеральний директор EasyDNS Марк Єфтовіч визнав порушення як першу успішну атаку соціальної інженерії проти клієнта easyDNS за 28-річну історію компанії та заявив, що компанія впроваджує покращення безпеки, щоб запобігти подібним інцидентам.