LayerZero signale une attaque contre KelpDAO : des pirates liés à la Corée du Nord dérobent 116 500 rsETH (292 millions de dollars) le 18 avril

D’après le rapport d’incident de LayerZero Labs, le pont cross-chain rsETH a été attaqué le 18 avril, entraînant le vol de 116 500 rsETH (environ 292 millions de dollars). Mandiant, CrowdStrike et des chercheurs indépendants ont attribué l’attaque à un groupe de hackers lié à la Corée du Nord, TraderTraitor (UNC4899).

L’attaque a commencé le 6 mars via de l’ingénierie sociale visant des comptes développeurs LayerZero. Les attaquants ont obtenu des clés de session, se sont infiltrés dans des environnements cloud RPC et ont empoisonné des données internes de nœuds RPC pour générer des preuves cross-chain frauduleuses. Ils ont ensuite lancé des attaques par déni de service contre des fournisseurs RPC externes, forçant le système de vérification à s’appuyer sur des nœuds compromis. La vulnérabilité centrale : l’application concernée utilisait une configuration à vérificateur unique, permettant la libération d’actifs après la réception d’une seule signature valide.

LayerZero Labs a indiqué qu’il va ajuster ses stratégies de sécurité en interdisant à son DVN d’agir comme seul signataire dans les configurations à vérificateur unique, en reconstruisant l’infrastructure cloud touchée, et en mettant en place des identifiants à courte durée de vie, une escalade immédiate des privilèges et des mécanismes d’approbation multiple. zeroShadow et les forces de l’ordre ont lancé une enquête et un suivi des actifs.