Exploits nel Settore DeFi
LayerZero ha dichiarato che il gruppo Lazarus, legato alla Corea del Nord, è il probabile responsabile dell’exploit di Kelp DAO, che ha portato al drenaggio di 116.500 rsETH, equivalenti a circa 292 milioni di dollari. L’azienda ha affermato che i primi indizi indicano un “attore statale altamente sofisticato” e ha specificato che si tratta del “gruppo Lazarus della DPRK, in particolare TraderTraitor” nella sua ultima comunicazione.
Dettagli dell’Attacco
L’attacco è avvenuto il 18 aprile ed è rapidamente diventato il più grande exploit DeFi registrato quest’anno. LayerZero ha spiegato che l’attaccante ha preso di mira il sistema utilizzato per verificare i messaggi cross-chain, consentendo a un messaggio falso di passare e sbloccare token sul ponte.
Secondo LayerZero, l’attaccante ha avuto accesso all’elenco dei nodi RPC utilizzati dalla rete decentralizzata verificata di LayerZero Labs (DVN). L’attaccante ha quindi avvelenato due di quei nodi affinché consegnassero un messaggio cross-chain falso alla rete di verifica. Contemporaneamente, ha lanciato un attacco DDoS contro i nodi puliti, costringendo la DVN a fare affidamento sui nodi compromessi. Questa combinazione ha permesso al messaggio contraffatto di muoversi attraverso il sistema e attivare lo sblocco dei token, causando la perdita.
Configurazione e Vulnerabilità
Inoltre, LayerZero ha sottolineato che il danno è stato possibile perché Kelp DAO ha utilizzato una configurazione DVN 1-of-1 senza un verificatore di backup, creando un punto unico di guasto e lasciando senza controllo indipendente la possibilità di rifiutare il messaggio falso prima che il ponte rilasciasse i fondi.
“Operare una configurazione a punto unico di guasto significava che non c’era un verificatore indipendente in grado di catturare e rifiutare un messaggio contraffatto.”
LayerZero ha anche aggiunto che “LayerZero e altre parti esterne avevano precedentemente comunicato le migliori pratiche riguardo alla diversificazione della DVN a Kelp DAO.” L’azienda ha annunciato che non firmerà più messaggi per le applicazioni che utilizzano una configurazione DVN 1/1.
Impatto sul Settore DeFi
L’exploit ha generato stress nel settore DeFi, poiché l’attaccante ha spostato rsETH rubato su Aave V3, utilizzandolo come collaterale per prendere in prestito grandi quantità di WETH. Questo ha sollevato preoccupazioni su possibili debiti problematici su Aave, portando il protocollo a congelare i mercati di rsETH sia su V3 che su V4.
Il fondatore di Aave, Stani Kulechov, ha dichiarato che “rsETH è stato congelato su Aave V3 e V4” e ha aggiunto che l’asset non ha più potere di prestito a causa dell’exploit del ponte Kelp DAO.
I dati storici di Aavescan hanno mostrato che oltre 10 miliardi di dollari hanno lasciato Aave dopo l’attacco, con i fondi totali forniti che sono scesi a 35,7 miliardi di dollari, rispetto ai 45,8 miliardi di dollari precedenti.
Le conseguenze si sono estese oltre Aave: diversi protocolli DeFi, tra cui Ethena, ether.fi, Tron DAO e Curve Finance, hanno messo in pausa i ponti LayerZero OFT come misura precauzionale. I dati di DefiLlama hanno mostrato che il valore totale bloccato in DeFi è sceso del 7% in 24 ore, attestandosi a circa 86,3 miliardi di dollari, in calo rispetto ai 99,5 miliardi di dollari del 18 aprile.
LayerZero ha affermato che non c’è “contagio zero” per altri asset o applicazioni che utilizzano configurazioni multi-DVN, mentre le forze dell’ordine continuano gli sforzi per rintracciare i fondi.
