Pirateage du Kelp DAO attribué au groupe Lazarus ; prise de contrôle du domaine eth.limo via une ingénierie sociale

Message de Gate News, 20 avril — LayerZero a publié des conclusions préliminaires sur l’exploitation du Kelp DAO survenue le 18 avril, attribuant l’attaque à un acteur de menace étatique hautement sophistiqué, probablement un sous-groupe du groupe Lazarus de Corée du Nord connu sous le nom de TraderTraitor. L’incident s’est soldé par la perte de 116 500 tokens rsETH d’une valeur d’environ $292 millions, ce qui constitue la plus grande exploitation DeFi de cette année.

D’après l’enquête de LayerZero, les attaquants ont obtenu l’accès à la liste des nœuds RPC utilisés par le réseau de vérificateurs décentralisés (DVN) de LayerZero Labs, un système d’entités indépendantes chargées de valider des messages inter-chaînes. Deux nœuds ont été empoisonnés pour transmettre un message frauduleux, tandis que les attaquants lançaient simultanément une attaque par déni de service distribué contre des nœuds non compromis. Le message forgé a été accepté parce que Kelp DAO a configuré son pont en utilisant une configuration 1-of-1 DVN unique, sans vérificateur secondaire pour détecter ou rejeter la transaction frauduleuse. LayerZero avait précédemment conseillé à Kelp DAO de diversifier sa configuration DVN. En réponse, LayerZero a annoncé qu’il ne signera plus les messages pour des applications utilisant des configurations 1/1 DVN et qu’il coopère avec les forces de l’ordre pour retracer les fonds volés.

Par ailleurs, la passerelle Ethereum Name Service eth.limo a révélé que sa prise de contrôle de domaine du vendredi 18 avril a été causée par une attaque d’ingénierie sociale visant son prestataire de services, easyDNS. Un attaquant s’est fait passer pour un membre de l’équipe eth.limo et a lancé un processus de récupération de compte, obtenant l’accès au compte eth.limo et modifiant les paramètres DNS pour rediriger le trafic vers une infrastructure contrôlée par Cloudflare. La plateforme dessert environ deux millions de sites Web décentralisés utilisant le système de domaine .eth. Toutefois, l’extension de sécurité du système de noms de domaine (DNSSEC) a limité les dégâts en ajoutant une vérification cryptographique aux enregistrements DNS ; faute de clés de signature requises, l’attaquant a fait rejeter par de nombreux résolveurs DNS les enregistrements manipulés, empêchant ainsi des redirections malveillantes. Le PDG d’EasyDNS, Mark Jeftovic, a reconnu la violation comme la première attaque d’ingénierie sociale réussie contre un client easyDNS dans l’histoire de 28 ans de l’entreprise et a déclaré que la société met en œuvre des améliorations de sécurité pour prévenir des incidents similaires.