Kelp DAO Exploit at ang Lazarus Group
Ayon sa LayerZero, ang Lazarus Group ng Hilagang Korea ang malamang na nasa likod ng Kelp DAO exploit na nag-alis ng 116,500 rsETH, na nagkakahalaga ng humigit-kumulang $292 milyon. Sa kanilang pahayag, sinabi ng kumpanya na ang mga unang indikasyon ay nagpapakita ng isang “napaka-sopistikadong estado na aktor” at tinukoy ang “Lazarus Group ng DPRK, mas partikular ang TraderTraitor.” Ang pag-atake ay naganap noong Abril 18 at mabilis na naging pinakamalaking DeFi exploit na naiulat sa taong ito.
Paraan ng Pag-atake
Ayon sa LayerZero, tinarget ng umaatake ang sistema na ginagamit upang beripikahin ang mga mensahe sa cross-chain, na nagbigay-daan sa isang maling mensahe na makalusot at ma-unlock ang mga token sa tulay. Nakakuha ang umaatake ng access sa listahan ng mga RPC node na ginagamit ng decentralized verified network (DVN) ng LayerZero Labs. Pagkatapos, pinabayaan ng umaatake ang dalawa sa mga node na iyon upang maghatid ng isang pekeng mensahe sa verifier network. Kasabay nito, inilunsad ng umaatake ang isang DDoS attack laban sa mga malinis na node, na nagpilit sa DVN na umasa sa mga pinabayaan na node.
Resulta ng Pag-atake
Sinabi ng LayerZero na ang kumbinasyong ito ay nagbigay-daan sa pekeng mensahe na makalusot sa sistema at mag-trigger ng token unlock na nagresulta sa pagkalugi. Bukod dito, sinabi ng LayerZero na naging posible ang pinsala dahil ang Kelp DAO ay gumamit ng isang solong 1-of-1 DVN setup na walang backup verifier. Ito ay lumikha ng isang solong punto ng pagkabigo, na walang independiyenteng pagsusuri upang tanggihan ang pekeng mensahe bago ilabas ng tulay ang mga pondo. Sa kanilang pahayag, sinabi ng LayerZero na
“ang pagpapatakbo ng isang single-point-of-failure configuration ay nangangahulugang walang independiyenteng verifier upang mahuli at tanggihan ang isang pekeng mensahe.”
Mga Hakbang ng LayerZero
Idinagdag din nito na
“ang LayerZero at iba pang panlabas na partido ay dati nang nakipag-ugnayan ng mga pinakamahusay na kasanayan tungkol sa DVN diversification sa Kelp DAO.”
Idinagdag ng kumpanya na hindi na ito pipirma ng mga mensahe para sa mga aplikasyon na gumagamit ng 1/1 DVN setup.
Implikasyon sa DeFi
Ang exploit ay nagdulot ng stress sa DeFi matapos ilipat ng umaatake ang ninakaw na rsETH sa Aave V3 at ginamit ito bilang collateral upang mangutang ng malalaking halaga ng WETH. Ito ay nagdulot ng pag-aalala tungkol sa posibleng masamang utang sa Aave at nagresulta sa pag-freeze ng mga merkado ng rsETH sa parehong V3 at V4. Sinabi ng tagapagtatag ng Aave na si Stani Kulechov na
“Ang RsETH ay na-freeze sa Aave V3 at V4”
at idinagdag na ang asset ay wala nang kapangyarihan sa pangungutang dahil sa Kelp DAO bridge exploit.
Data at Epekto
Ipinakita ng makasaysayang data mula sa Aavescan na higit sa $10 bilyon ang umalis sa Aave pagkatapos ng pag-atake, na ang kabuuang pondo ay bumagsak sa $35.7 bilyon mula sa $45.8 bilyon. Ang epekto ay umabot sa labas ng Aave. Maraming mga DeFi protocol, kabilang ang Ethena, ether.fi, Tron DAO, at Curve Finance, ay huminto sa LayerZero OFT bridges bilang pag-iingat.
Ipinakita ng data ng DefiLlama na ang kabuuang halaga ng DeFi na naka-lock ay bumaba ng 7% sa loob ng 24 na oras, mula sa $99.5 bilyon noong Abril 18, na naging humigit-kumulang $86.3 bilyon. Sinabi ng LayerZero na may “zero contagion” para sa iba pang mga asset o aplikasyon na gumagamit ng multi-DVN setups, habang ang mga pagsisikap ng mga awtoridad upang subaybayan ang mga pondo ay nagpapatuloy.
