LayerZero informa el ataque a KelpDAO: hackers vinculados a Corea del Norte roban 116.500 rsETH (292 millones de USD) el 18 de abril

De acuerdo con el informe de incidentes de LayerZero Labs, el 18 de abril el puente de cadena cruzada rsETH fue atacado, lo que resultó en el robo de 116.500 rsETH (aproximadamente 292 millones de dólares). Mandiant, CrowdStrike e investigadores independientes atribuyeron el ataque a un grupo de hackers vinculado a Corea del Norte, TraderTraitor (UNC4899).

El ataque comenzó el 6 de marzo mediante ingeniería social dirigida a las cuentas de desarrolladores de LayerZero. Los atacantes obtuvieron claves de sesión, se infiltraron en entornos cloud de RPC e inyectaron datos internos de nodos RPC para generar pruebas fraudulentas de cadena cruzada. Luego lanzaron ataques de denegación de servicio contra proveedores externos de RPC, forzando al sistema de verificación a depender de nodos comprometidos. La vulnerabilidad central: la aplicación afectada usaba una configuración de verificador único, lo que permitía la liberación de activos después de recibir solo una firma válida.

LayerZero Labs indicó que ajustará sus estrategias de seguridad prohibiendo que su DVN actúe como único firmante en configuraciones de verificador único, reconstruyendo la infraestructura cloud afectada e implementando credenciales de vida corta, escalamiento inmediato de privilegios y mecanismos de aprobación múltiple. zeroShadow y las fuerzas del orden han iniciado la investigación y el rastreo de activos.