coindesk.com
LayerZero ha atribuido la responsabilidad del exploit de 290 millones de dólares en Kelp DAO a la propia configuración de seguridad de Kelp, afirmando que el protocolo de restaking líquido operaba con una configuración de verificador único que LayerZero había advertido anteriormente que era riesgosa.
El ataque utilizó un vector novedoso que apuntó a la capa de infraestructura en lugar de a cualquier código de protocolo.
Los atacantes, a quienes LayerZero atribuyó con confianza preliminar al Grupo Lazarus de Corea del Norte y su subunidad TraderTraitor, comprometieron dos de los nodos de llamada a procedimiento remoto (RPC) en los que el verificador de LayerZero confiaba para confirmar transacciones entre cadenas.
Los nodos RPC son los servidores que permiten al software leer y escribir datos en una blockchain, y el verificador de LayerZero utilizó una combinación de nodos internos y externos para redundancia.
Los atacantes intercambiaron el software binario que se ejecuta en dos de esos nodos por versiones maliciosas diseñadas para informar al verificador de LayerZero que había ocurrido una transacción fraudulenta, mientras continuaban reportando datos precisos a todos los demás sistemas que consultaban esos mismos nodos.
Esa mentira selectiva fue diseñada para mantener el ataque invisible para la propia infraestructura de monitoreo de LayerZero, la cual consulta los mismos RPC desde diferentes direcciones IP.
Comprometer dos nodos no fue suficiente. El verificador de LayerZero también consultó nodos RPC externos no comprometidos, por lo que los atacantes realizaron un ataque distribuido de denegación de servicio contra esos nodos para forzar el cambio a los nodos contaminados.
Los registros de tráfico compartidos por LayerZero muestran que el ataque DDoS se ejecutó entre las 10:20 a.m. y las 11:40 a.m., hora del Pacífico, el sábado. Una vez activado el failover, los nodos comprometidos informaron al verificador que había llegado un mensaje válido de cadena cruzada, y el puente de Kelp liberó 116,500 rsETH a los atacantes. El software malicioso del nodo luego se autodestruyó, eliminando binarios y registros locales.
El ataque solo funcionó porque Kelp operaba con una configuración de verificador 1-de-1, lo que significa que LayerZero Labs era la única entidad que verificaba los mensajes hacia y desde el puente rsETH.
La lista de verificación para la integración pública de LayerZero y las comunicaciones directas con Kelp habían recomendado una configuración de múltiples verificadores con redundancia, donde se requeriría consenso entre varios verificadores independientes para confirmar un mensaje. Bajo esa configuración, envenenar la fuente de datos de un verificador no habría sido suficiente para forjar un mensaje válido.
"KelpDAO eligió utilizar una configuración 1/1 DVN," escribió LayerZero, utilizando el término del protocolo para redes descentralizadas de verificadores. "Una configuración debidamente reforzada habría requerido consenso entre múltiples DVNs independientes, lo que haría que este ataque fuera ineficaz incluso en caso de que se comprometiera cualquier DVN individual."
LayerZero informó que ha confirmado que no existe contagio alguno hacia ninguna otra aplicación en el protocolo. Cada token estándar OFT y aplicación que opera con configuraciones de multi-verificadores permaneció sin afectaciones.
El verificador de LayerZero Labs ha vuelto a estar en línea, y la empresa anunció que ya no firmará mensajes para ninguna aplicación que funcione con una configuración 1-de-1, lo que obliga a una migración a nivel de protocolo fuera de configuraciones con verificador único.
La distinción arquitectónica es importante para cómo DeFi valora el riesgo de LayerZero en el futuro.
Un error a nivel de protocolo habría implicado que cada token OFT en cada cadena estaba potencialmente en riesgo. Sin embargo, una falla de configuración por parte de un único integrador, combinada con un ataque dirigido a la infraestructura, implica que el protocolo funcionó según lo diseñado y que las decisiones de seguridad de Kelp, y no el código de LayerZero, crearon la vulnerabilidad.
Kelp aún no ha respondido públicamente al encuadre de LayerZero ni ha explicado por qué operó una configuración de verificadores 1-de-1 a pesar de las recomendaciones explícitas en contra.
El grupo Lazarus ha sido vinculado con la explotación del Protocolo Drift el 1 de abril y ahora con Kelp el 18 de abril, lo que significa que la misma unidad norcoreana ha drenado más de 575 millones de dólares de DeFi en 18 días a través de dos vectores de ataque estructuralmente diferentes: la ingeniería social dirigida a firmantes de gobernanza en Drift y el envenenamiento de infraestructuras RPC en Kelp.
El grupo está adaptando su estrategia más rápido de lo que los protocolos DeFi están reforzando sus defensas.