Hack Kelp DAO Dikaitkan dengan Lazarus Group; Domain eth.limo Dibajak via Social Engineering

Pesan Gate News, 20 April — LayerZero merilis temuan awal mengenai eksploitasi Kelp DAO yang terjadi pada 18 April, dengan mengaitkan serangan itu kepada aktor ancaman berbalut dukungan negara yang sangat canggih, kemungkinan subkelompok Lazarus Group dari Korea Utara yang dikenal sebagai TraderTraitor. Insiden tersebut mengakibatkan hilangnya 116.500 token rsETH senilai sekitar $292 juta, yang menandai eksploitasi DeFi terbesar tahun ini.

Menurut penyelidikan LayerZero, para penyerang memperoleh akses ke daftar node RPC yang digunakan oleh jaringan verifikator desentralisasi LayerZero Labs (DVN), sebuah sistem entitas independen yang bertanggung jawab memvalidasi pesan lintas-jaringan. Dua node dipasang racun untuk mengirim pesan yang menyesatkan, sementara penyerang secara bersamaan meluncurkan serangan distributed denial-of-service terhadap node yang tidak terdampak. Pesan palsu diterima karena Kelp DAO mengonfigurasi bridge-nya menggunakan pengaturan DVN 1-of-1 tunggal tanpa verifikator sekunder untuk mendeteksi atau menolak transaksi yang menyesatkan tersebut. LayerZero sebelumnya telah menyarankan Kelp DAO untuk mendiversifikasi konfigurasi DVN-nya. Sebagai respons, LayerZero mengumumkan bahwa pihaknya tidak lagi akan menandatangani pesan untuk aplikasi yang menggunakan konfigurasi DVN 1/1 dan bekerja sama dengan penegak hukum untuk melacak dana yang dicuri.

Secara terpisah, gateway Ethereum Name Service eth.limo mengungkapkan bahwa pembajakan domainnya pada Jumat, 18 April, disebabkan oleh serangan social engineering yang menargetkan penyedia layanannya, easyDNS. Seorang penyerang menyamar sebagai anggota tim eth.limo dan memulai proses pemulihan akun, sehingga memperoleh akses ke akun eth.limo serta mengubah pengaturan DNS untuk mengarahkan lalu lintas ke infrastruktur yang dikendalikan Cloudflare. Platform ini melayani sekitar dua juta situs web desentralisasi menggunakan sistem domain .eth. Namun, Domain Name System Security Extension (DNSSEC) membatasi dampak dengan menambahkan verifikasi kriptografis ke catatan DNS; karena penyerang tidak memiliki kunci penandatanganan yang diperlukan, banyak resolver DNS menolak catatan yang dimanipulasi, sehingga mencegah pengalihan berbahaya. CEO EasyDNS Mark Jeftovic mengakui pelanggaran tersebut sebagai serangan social engineering pertama yang berhasil terhadap klien easyDNS dalam sejarah 28 tahun perusahaan dan menyatakan bahwa perusahaan sedang menerapkan perbaikan keamanan untuk mencegah kejadian serupa.