LayerZero在一份初步报告中表示，周末期间从KelpDAO跨链桥窃取约2.92亿美元的攻击“很可能”是朝鲜Lazarus集团，特别是其TraderTraitor子部门所为。分析周一。

攻击者于周六从 KelpDAO 桥上窃取了 116,500 个 rsETH（一种由质押的以太币支持的流动性再质押代币），引发了跨平台的提款潮。去中心化金融该行业拉超过100亿美元的贷款协议资金流出艾维.

LayerZero表示，此次攻击带有“高度复杂的国家行为体”的特征，很可能是朝鲜的拉撒路集团，并特别指出是该集团的TraderTraitor子部门。

据报道，朝鲜的网络行动由侦察总局负责，该局下辖多个不同的部门，包括 TraderTraitor、AppleJeus、APT38 和 DangerousPassword。分析作者：Paradigm 研究员 Samczsun。

在这些子组织中，TraderTraitor 被认为是朝鲜境内针对加密货币的最老练的行动者，此前曾与……有关联。轴无限浪人桥和WazirX妥协。

LayerZero 表示，KelpDAO 使用了单个验证器来批准桥接资金的流入和流出，并补充说，它曾多次敦促 KelpDAO 改用多个验证器。

LayerZero表示，今后将停止批准任何仍在运行该设置的应用程序的消息。

单点故障

观察人士称，此次漏洞暴露了该桥接器是如何构建的，使其只信任一个验证者。

加密安全公司Sodot的联合创始人沙莱夫·克伦表示，无论市场营销部门如何粉饰，这都是“一个单点故障”。解密.

Keren表示，一个被攻破的检查点就足以让资金离开桥梁，任何审计或安全审查都无法在不“从架构本身消除单方面信任”的情况下修复这一缺陷。

这种观点得到了其他人的赞同。Grvt区块链负责人Haoze Qiu认为，“Kelp DAO 似乎接受了一种桥接安全设置，但对于如此规模的资产而言，其冗余度太低，”并补充说，鉴于“此次泄露涉及与其验证器堆栈相关的基础设施，即使这没有被描述为核心协议漏洞”，LayerZero “也负有责任”。

据区块链安全公司Cyvers的分析，攻击者在短短三分钟内就窃取了另外1亿美元，但随后迅速被列入黑名单，阻止了他们的行动。Cyvers首席技术官梅尔·多列夫表示，此次行动是基于欺骗单一通信渠道而发起的。解密.

攻击者入侵了验证器用来检查 Unichain 上是否真的发生了提现的两条线路，向这两条线路输入了虚假的“是”，然后将剩余的线路离线，迫使验证器依赖于被入侵的线路。

“金库没问题。保安很诚实。门锁机制也正常，”多列夫说。“谎言是直接悄悄告诉了那个用言语打开金库的人。”

但为泄洪桥梁提供基础设施的 LayerZero 指出 Lazarus 可能是罪魁祸首，而 Cyvers 在自己的分析中却没有得出同样的结论。

多列夫说，有些模式在复杂程度、规模和协调执行方面与朝鲜民主主义人民共和国的行动相符，但没有钱包与该群体相关的聚集性感染已得到证实。

他还补充说，恶意节点软件经过精心设计，一旦攻击结束就会自行删除，清除二进制文件和日志，从而在实时和事后掩盖攻击者的踪迹。

本月初，攻击者排水大约2.85亿美元索拉纳基于永续盘的协议 Drift，在后续的漏洞利用中归因于致朝鲜特工。

Dolev 指出，Drift 黑客攻击“在准备和执行方面非常不同”，但这两次攻击都需要较长的准备时间、深厚的专业知识和大量的资源才能成功实施。

赛弗斯怀疑被盗资金已被转移到这个以太坊地址与单独的报告链上调查员 ZachXBT 发现了该攻击地址，并将其与其他四个攻击地址一起标记出来。这些攻击地址的资金来源是……硬币搅拌器据 ZachXBT 报道，Tornado Cash 正在热卖。