A LayerZero comunica o ataque à KelpDAO: hackers ligados à Coreia do Norte roubam 116.500 rsETH (292 milhões $) a 18 de abril

De acordo com o relatório de incidente da LayerZero Labs, a ponte de cadeia cruzada rsETH foi atacada a 18 de abril, resultando no roubo de 116.500 rsETH (aproximadamente 292 milhões de dólares). A Mandiant, a CrowdStrike e investigadores independentes atribuíram o ataque a um grupo de hackers com ligações à Coreia do Norte, o TraderTraitor (UNC4899).

O ataque começou a 6 de março através de engenharia social direcionada às contas de programadores da LayerZero. Os atacantes obtiveram chaves de sessão, infiltraram ambientes de cloud de RPC e envenenaram dados internos dos nós RPC para gerar provas de cadeia cruzada fraudulentas. Em seguida, lançaram ataques de negação de serviço contra fornecedores externos de RPC, forçando o sistema de verificação a depender de nós comprometidos. A vulnerabilidade central: a aplicação afetada utilizava uma configuração de verificador único, permitindo a liberação de ativos após receber apenas uma assinatura válida.

A LayerZero Labs afirmou que vai ajustar as estratégias de segurança, proibindo que o seu DVN funcione como o único signatário em configurações de verificador único, reconstruindo a infraestrutura cloud afetada e implementando credenciais de curta duração, escalada imediata de privilégios e mecanismos de múltipla aprovação. zeroShadow e as autoridades policiais iniciaram a investigação e o rastreio dos ativos.