Компания LayerZero (ZRO), обвиняемая в хакерской атаке на KelpDAO в прошлом месяце, опубликовала свой первый отчет об инциденте

Компания LayerZero опубликовала подробный отчет об инциденте, связанном с масштабной атакой на мост rsETH сети KelpDAO, произошедшей в апреле.

Согласно отчету, в результате атаки, произошедшей 18 апреля, было украдено около 116 500 rsETH. Общая стоимость украденных активов оценивается примерно в 292 миллиона долларов. Многие компании, занимающиеся вопросами безопасности, считают, что за атакой стоит связанная с Северной Кореей хакерская группа TraderTraitor (UNC4899).

Согласно заявлению компании, атака не была направлена непосредственно на протокол LayerZero или другие OApps. Она затронула только мост rsETH, который имеет единственную конфигурацию валидатора для KelpDAO. LayerZero заявила, что инцидент был вызван сложной операцией социальной инженерии, проведенной на уровне инфраструктуры.

Согласно отчету, 6 марта злоумышленники с помощью методов социальной инженерии получили сессионные ключи, принадлежащие разработчикам LayerZero Labs. Затем они проникли в облачную среду RPC компании и манипулировали внутренними узлами RPC, внедряя в системы патчи памяти. Эти узлы продолжали передавать обычные данные инструментам мониторинга, но предоставляли измененную информацию о состоянии блокчейна системе DVN (децентрализованная сеть валидаторов) LayerZero.

Также было заявлено, что злоумышленники совершили DoS-атаки на внешних RPC-провайдеров, в результате чего система DVN стала полностью зависеть от скомпрометированных внутренних узлов. В конечном итоге этот процесс позволил получить достоверные доказательства подделки межсетевых сообщений, и благодаря конфигурации KelpDAO с одним валидатором контракт rsETH принял эти доказательства, освободив активы.

После инцидента LayerZero Labs объявила о существенных изменениях в своей архитектуре безопасности. Компания заявила, что ввела обязательные минимальные конфигурации безопасности для каналов, использующих DVN, и больше не будет предоставлять подписи в качестве единственного валидатора. Кроме того, было отмечено, что затронутая инфраструктура была полностью перестроена на основе архитектуры нулевого доверия, и были внедрены механизмы мгновенного повышения привилегий.

Компания LayerZero добавила, что продолжает укреплять свои системы безопасности совместно со своими партнерами по экосистеме и сотрудничает с правоохранительными органами и компаниями, занимающимися вопросами безопасности, для расследования атаки, идентификации преступника и отслеживания перемещений средств.

*Это не инвестиционная рекомендация.