LayerZero Atribuye Hackeo de KelpDAO de $292M al Grupo Lazarus de Corea del Norte

El exploit que drenó aproximadamente $292 millones del puente cross-chain de KelpDAO durante el fin de semana fue “probablemente” obra del Grupo Lazarus de Corea del Norte, específicamente su subunidad TraderTraitor, según señaló LayerZero en un análisis preliminar el lunes.

Los atacantes drenaron 116.500 rsETH, un token de restaking líquido respaldado por ether en staking, del puente de KelpDAO el sábado, desencadenando retiros en todo el sector de las finanzas descentralizadas que extrajeron más de $10.000 millones del protocolo de préstamos Aave.

El ataque presentaba las características de “un actor estatal altamente sofisticado, probablemente el Grupo Lazarus de Corea del Norte”, afirmó LayerZero, especificando la subunidad TraderTraitor del grupo.

Las operaciones cibernéticas de Corea del Norte dependen de la Oficina General de Reconocimiento, que alberga varias unidades distintas, como TraderTraitor, AppleJeus, APT38 y DangerousPassword, según un análisis del investigador de Paradigm, Samczsun.

Entre estas subunidades, TraderTraitor ha sido identificada como el actor norcoreano más sofisticado que apunta al ecosistema cripto, previamente vinculada a los ataques al Ronin Bridge de Axie Infinity y a WazirX.

LayerZero señaló que KelpDAO había utilizado un único verificador para aprobar las transferencias entrantes y salientes del puente, y agregó que había instado repetidamente a KelpDAO a utilizar múltiples verificadores en su lugar.

A partir de ahora, LayerZero indicó que dejará de aprobar mensajes para cualquier aplicación que continúe operando con esa configuración.

Un único punto de fallo

Los observadores afirman que el exploit reveló cómo el puente fue construido para confiar en un único verificador.

Fue “un único punto de fallo, independientemente de cómo lo llame el marketing”, dijo Shalev Keren, cofundador de la firma de seguridad criptográfica Sodot, a Decrypt.

Un único punto de control comprometido fue suficiente para permitir que los fondos salieran del puente, y ninguna auditoría o revisión de seguridad podría haber corregido esa falla sin “eliminar la confianza unilateral de la propia arquitectura”, agregó Keren.

Esa opinión fue respaldada por Haoze Qiu, responsable de Blockchain en Grvt, quien argumentó que “Kelp DAO parece haber aceptado una configuración de seguridad del puente con demasiada poca redundancia para un activo de esta escala”, y añadió que LayerZero “también tiene responsabilidad” dado que “el compromiso involucró infraestructura vinculada a su stack de validadores, aunque esto no fue descrito como un error del protocolo central”.

Los atacantes estuvieron a solo tres minutos de drenar otros $100 millones antes de que una rápida inclusión en lista negra los detuviera, según un análisis de la firma de seguridad blockchain Cyvers. La operación se basó en engañar a un único canal de comunicación, según indicó a Decrypt el CTO de Cyvers, Meir Dolev.

Los atacantes interceptaron dos de las líneas que el verificador utilizaba para comprobar si un retiro había ocurrido realmente en Unichain, le enviaron un falso “sí” en esas líneas y luego dejaron fuera de línea las restantes para obligar al verificador a depender de las comprometidas.

“La bóveda estaba bien. El guardia era honesto. El mecanismo de la puerta funcionaba correctamente”, afirmó Dolev. “La mentira fue susurrada directamente a la única parte cuya palabra abría la puerta”.

Sin embargo, mientras LayerZero, cuya infraestructura impulsó el puente drenado, señaló a Lazarus como el probable culpable, Cyvers no llegó a la misma atribución en su propio análisis.

Algunos patrones coinciden con operaciones vinculadas a Corea del Norte en sofisticación, escala y ejecución coordinada, señaló Dolev, pero no se ha confirmado ningún agrupamiento de wallets vinculado al grupo.

El software malicioso del nodo fue diseñado para autoeliminarse una vez finalizado el ataque, borrando binarios y registros para ocultar el rastro de los atacantes en tiempo real y en el análisis forense posterior, añadió.

A principios de este mes, los atacantes drenaron aproximadamente $285 millones del protocolo de perpetuos basado en Solana, Drift, en un exploit posteriormente atribuido a operativos norcoreanos.

Dolev señaló que el hackeo a Drift fue “muy diferente en términos de preparación y ejecución”, pero ambos ataques requirieron largos tiempos de preparación, profunda experiencia y recursos significativos para llevarse a cabo.

Cyvers sospecha que los fondos robados fueron transferidos a esta dirección de Ethereum, en línea con un reporte separado del investigador on-chain ZachXBT, quien la señaló junto a otras cuatro. Las direcciones del ataque fueron financiadas a través del mezclador de criptomonedas Tornado Cash, según ZachXBT.