coindesk.com
Weniger als drei Wochen nachdem mit Nordkorea in Verbindung stehende Hacker Social Engineering eingesetzt haben, um das Kryptowährungshandelsunternehmen Drift, Hacker, die mit der Nation in Verbindung stehen, scheinen einen weiteren größeren Exploit bei Kelp durchgeführt zu haben.
Der Angriff auf Kelp, ein Restaking-Protokoll, das in die Cross-Chain-Infrastruktur von LayerZero eingebunden ist, deutet auf eine Entwicklung in der Vorgehensweise der mit Nordkorea verbundenen Hacker hin, nicht nur auf der Suche nach Sicherheitslücken oder gestohlenen Zugangsdaten, aber die grundlegenden Annahmen, die in dezentralen Systemen verankert sind, auszunutzen.
Zusammen genommen, die beiden Vorfälle deuten auf etwas Organisierteres hin als eine Reihe von Einzelangriffen„, da Nordkorea seine Bemühungen zur Entwendung von Mitteln aus dem Kryptosektor weiterhin verstärkt.“
„Dies ist keine Abfolge von Vorfällen; es ist eine Kadenz“, sagte Alexander Urbelis, Chief Information Security Officer und General Counsel bei ENS Labs. „Sie können einen Beschaffungsplan nicht durch Patches beheben.“
Mehr als 500 Millionen US-Dollar wurden innerhalb von etwas mehr als zwei Wochen durch die Exploits bei Drift und Kelp abgezogen.
Wie Kelp kompromittiert wurde
Im Kern bestand die Kelp-Schwachstelle nicht darin, Verschlüsselungen zu knacken oder Schlüssel zu entschlüsseln. Das System funktionierte tatsächlich so, wie es konzipiert wurde. Vielmehr manipulierten Angreifer die in das System eingespeisten Daten und zwangen es, sich auf diese kompromittierten Eingaben zu verlassen, wodurch Transaktionen genehmigt wurden, die tatsächlich nie stattgefunden haben.
„Das Sicherheitsversagen ist einfach: Eine unterzeichnete Lüge bleibt trotzdem eine Lüge“, sagte Urbelis. „Unterschriften garantieren die Urheberschaft; sie garantieren nicht die Wahrheit.“
Einfacher ausgedrückt überprüfte das System, wer die Nachricht gesendet hat, nicht, ob die Nachricht selbst korrekt war. Für Sicherheitsexperten handelt es sich dabei weniger um einen ausgeklügelten neuen Hack, sondern vielmehr um die Ausnutzung der Systemkonfiguration.
„Dieser Angriff diente nicht dazu, die Kryptographie zu überwinden“, sagte David Schwed, COO des Blockchain-Sicherheitsunternehmens SVRN. „Es ging darum, auszunutzen, wie das System eingerichtet war.“
Ein zentrales Problem war eine Konfigurationsentscheidung. Kelp verließ sich auf einen einzelnen Verifizierer, im Wesentlichen einen Prüfer, um Cross-Chain-Nachrichten zu genehmigen. Das liegt daran, dass es schneller und einfacher einzurichten ist, aber eine entscheidende Sicherheitsschicht entfernt wird.
LayerZero hat seitdem empfohlen, mehrere unabhängige Prüfer zur Genehmigung von Transaktionen einzusetzen im Nachspiel, ähnlich wie die Anforderung mehrerer Unterschriften bei einer Banküberweisung. Einige Akteure im Ökosystem haben diese Darstellung zurückgewiesen, wobei darauf hingewiesen wurde, dass die Standardkonfiguration von LayerZero einen einzelnen Verifizierer vorsieht.
„Wenn Sie eine Konfiguration als unsicher identifiziert haben, sollten Sie diese nicht als Option anbieten“, sagte Schwed. „Sicherheit, die davon abhängt, dass jeder die Dokumentation liest und alles richtig macht, ist nicht realistisch.“
Die Auswirkungen beschränken sich nicht nur auf Kelp. Wie bei vielen DeFi-Systemen werden dessen Vermögenswerte plattformübergreifend genutzt, was bedeutet, dass sich Probleme ausbreiten können.
„Diese Vermögenswerte sind eine Kette von Schuldscheinen“, sagte Schwed. „Und die Kette ist nur so stark wie die Kontrollen an jedem Glied.“
Wenn ein Glied reißt, sind andere betroffen. In diesem Fall sehen sich Kreditplattformen wie Aave, die die betroffenen Vermögenswerte als Sicherheit akzeptierten, nun mit Verlusten konfrontiert, was einen einzelnen Exploit zu einem umfangreicheren Stressereignis werden lässt.
Dezentralisiertes Marketing
Der Angriff offenbart auch eine Lücke zwischen der Art und Weise, wie Dezentralisierung vermarktet wird, und wie sie tatsächlich funktioniert.
„Ein einzelner Verifizierer ist nicht dezentralisiert“, sagte Schwed. „Es ist ein zentralisierter dezentraler Verifizierer.“
Urbelis formuliert es weiter gefasst.
„Dezentralisierung ist keine Eigenschaft, die ein System besitzt. Es ist eine Reihe von Entscheidungen“, sagte er. „Und der Stack ist nur so stark wie seine zentralisierteste Ebene.“
In der Praxis bedeutet dies, dass selbst Systeme, die dezentral erscheinen, Schwachstellen aufweisen können, insbesondere in weniger sichtbaren Schichten wie Datenanbietern oder der Infrastruktur. Genau dort konzentrieren sich Angreifer zunehmend.
Dieser Wandel könnte die jüngsten Angriffe von Lazarus erklären.
Die Gruppe hat begonnen, sich auf Cross-Chain- und Restaking-Infrastruktur zu konzentrieren, sagte Urbelis, die Bereiche der Kryptowelt, die Vermögenswerte zwischen Systemen bewegen oder deren Wiederverwendung ermöglichen.
Diese Schichten sind entscheidend, jedoch komplex und befinden sich oft unterhalb sichtbarer Anwendungen. Sie haben auch dazu tendiert, große Vermögenswerte zu halten, was sie zu attraktiven Zielen macht.
Während frühere Wellen von Krypto-Hacks sich auf Börsen oder offensichtliche Programmierfehler konzentrierten, deutet die jüngste Aktivität auf eine Verlagerung hin hin zu dem, was man als die „Infrastruktur“ der Branche bezeichnen könnte, die Systeme, die alles miteinander verbinden, aber schwerer zu überwachen und leichter falsch zu konfigurieren sind.
Während sich Lazarus weiterentwickelt, besteht das größte Risiko möglicherweise nicht in unbekannten Schwachstellen, sondern in bekannten, die nicht vollständig behoben wurden.
Der Kelp-Exploit führte keine neue Schwachstelle ein. Er zeigte vielmehr, wie anfällig das Ökosystem weiterhin für bekannte Schwachstellen ist, insbesondere wenn Sicherheit eher als Empfehlung denn als Verpflichtung betrachtet wird.
Und da Angreifer immer schneller werden, wird diese Lücke sowohl leichter auszunutzen als auch wesentlich kostspieliger zu ignorieren.
Weiterlesen: Nordkoreanische Hacker führen umfangreiche staatlich finanzierte Cyberangriffe durch, um die Wirtschaft und das Nuklearprogramm des Landes zu unterstützen