coin-img-ETHETH+2.20%coin-img-BTCBTC+2.89%coin-img-SOLSOL+1.43%coin-img-XRPXRP+2.11%coin-img-SLINKSLINK+76.01%coin-img-UFOUFO-36.55%coin-img-USDCUSDC-0.03%coin-img-DOGEDOGE+2.70%coin-img-ETHETH+2.20%coin-img-BTCBTC+2.89%coin-img-SOLSOL+1.43%coin-img-XRPXRP+2.11%coin-img-SLINKSLINK+76.01%coin-img-UFOUFO-36.55%coin-img-USDCUSDC-0.03%coin-img-DOGEDOGE+2.70%coin-img-ETHETH+2.20%coin-img-BTCBTC+2.89%coin-img-SOLSOL+1.43%coin-img-XRPXRP+2.11%coin-img-SLINKSLINK+76.01%coin-img-UFOUFO-36.55%coin-img-USDCUSDC-0.03%coin-img-DOGEDOGE+2.70%coin-img-ETHETH+2.20%coin-img-BTCBTC+2.89%coin-img-SOLSOL+1.43%coin-img-XRPXRP+2.11%coin-img-SLINKSLINK+76.01%coin-img-UFOUFO-36.55%coin-img-USDCUSDC-0.03%coin-img-DOGEDOGE+2.70%

LayerZero macht Nordkoreas Lazarus-Gruppe für 292 Mio. US-Dollar schweren KelpDAO-Bridge-Hack verantwortlich

LayerZero führt den Angriff auf die Crosschain-Bridge von KelpDAO, bei dem am Wochenende Vermögenswerte im Wert von rund 292 Mio. US-Dollar entwendet wurden, in einem vorläufigen Bericht mit hoher Wahrscheinlichkeit auf Nordkoreas Lazarus-Gruppe zurück. Konkret nennt LayerZero die Untereinheit TraderTraitor. Die Analyse wurde am Montag veröffentlicht. Am Samstag entwendeten Angreifer 116.500 rsETH, ein Liquid-Staking-Token, der durch gestaktes Ethereum gedeckt ist. Der Vorfall löste eine Welle von Abhebungen auf verschiedenen Plattformen aus. Im DeFi-Sektor verließen laut Bericht zudem mehr als 10 Mrd. US-Dollar aus Kreditprotokollen das Avail-Ökosystem. LayerZero beschreibt das Vorgehen als typisch für einen „hochgradig sophistizierten staatlichen Akteur“ und verweist auf die Lazarus-Strukturen. Nordkoreas Cyberoperationen sollen demnach unter dem Reconnaissance General Bureau gebündelt sein, das mehrere Teams steuert, darunter TraderTraitor, AppleJeus, APT38 und DangerousPassword. Paradigm-Researcher Samczsun ordnet TraderTraitor als die technisch stärkste, auf Kryptowährungen spezialisierte Gruppe innerhalb dieser Landschaft ein und verweist auf frühere Verbindungen zu Vorfällen wie dem Axis-Infinite-Ronin-Bridge-Hack und WazirX. Ein zentraler Kritikpunkt: KelpDAO habe für eingehende und ausgehende Bridge-Transfers lediglich einen einzelnen Validator eingesetzt. LayerZero erklärt, man habe KelpDAO wiederholt zu einem Multi-Validator-Setup geraten und werde künftig keine Anwendungen mehr freigeben, die weiterhin mit dieser Konfiguration arbeiten. Branchenbeobachter sehen darin einen klassischen Single Point of Failure. Shalev Kren, Mitgründer des Cybersecurity-Unternehmens Sodot, bezeichnete die Konstruktion als „einzelnen Ausfallpunkt“ – unabhängig davon, wie sie vermarktet werde. Ein kompromittierter Kontrollpunkt reiche aus, um Mittel aus der Bridge abzuziehen; Audits oder Security-Reviews könnten diesen Konstruktionsfehler nicht beheben, solange „einseitiges Vertrauen“ nicht aus der Architektur entfernt werde. Auch andere Experten äußerten sich kritisch. Haoze Qiu, Head of Blockchain bei Grvt, sagte, KelpDAO habe offenbar ein Bridge-Sicherheitssetup mit zu wenig Redundanz für Vermögenswerte dieser Größenordnung akzeptiert. Zudem trage LayerZero Verantwortung, da der Vorfall Infrastruktur im Umfeld des Validator-Stacks berührt habe, auch wenn es sich nicht um eine Kernprotokoll-Schwachstelle gehandelt habe. Die Security-Firma Cyvers berichtet, der Angreifer habe weitere 100 Mio. US-Dollar innerhalb von drei Minuten entwendet, sei dann jedoch rasch auf Blacklists gelandet und dadurch gestoppt worden. Cyvers-CTO Mel Dolev sagte, der Angriff sei über die Täuschung eines einzelnen Kommunikationskanals gestartet worden. Demnach kompromittierte der Angreifer zwei Verifikationspfade, die prüfen sollten, ob Abhebungen auf Unichain tatsächlich stattgefunden hatten, speiste dort falsche „Ja“-Antworten ein und nahm anschließend die übrigen Pfade offline. Dadurch musste sich der Validator auf die kompromittierten Signale verlassen. Dolev veranschaulichte das so: „Der Tresor ist in Ordnung. Der Wachmann ist ehrlich. Der Türmechanismus funktioniert normal. Die Lüge wurde direkt und leise der Person erzählt, die den Tresor mündlich geöffnet hat.“ Cyvers zog in der eigenen Analyse allerdings nicht den gleichen Schluss wie LayerZero hinsichtlich eines eindeutigen Täters. Dolev sagte, einige Muster passten in Komplexität, Umfang und koordinierter Ausführung zu Vorgehensweisen der Demokratischen Volksrepublik Korea, bestätigte Wallet-Zuordnungen gebe es bislang jedoch nicht. Zudem sei die bösartige Node-Software so konstruiert gewesen, dass sie sich nach Abschluss des Angriffs selbst lösche und Binärdateien sowie Logs entferne, um Spuren sowohl in Echtzeit als auch nachträglich zu verwischen. Zum Kontext: Anfang dieses Monats wurden bei Drift, einem Perpetuals-basierten Protokoll auf Solana, rund 285 Mio. US-Dollar abgezogen; die nachfolgenden Auswertungen ordneten den Exploit nordkoreanischen Akteuren zu. Dolev betonte, der Drift-Hack sei „in Vorbereitung und Ausführung“ deutlich anders gewesen, beide Angriffe hätten aber umfassende Vorbereitung, tiefes Fachwissen und erhebliche Ressourcen erfordert. Cyvers vermutet, dass die entwendeten Mittel an eine Ethereum-Adresse transferiert wurden, die in einem separaten Bericht genannt wurde. Chainalysis-Ermittler ZachXBT identifizierte die Angriffsadresse und markierte sie zusammen mit vier weiteren Angriffsadressen. Die Funding-Quellen dieser Adressen sollen aus Coin-Mixern stammen. Nach Angaben von ZachXBT ist Tornado Cash derzeit stark nachgefragt.
Ausgewählt
ETH
ETH+2.17%
DRIFT
DRIFT+19.81%
Haftungsausschluss: Die obigen Inhalte geben lediglich die Meinung des Autors wieder und spiegeln nicht die Haltung von BingX wider. Sie stellen keine Anlageberatung durch BingX dar. Details finden Sie in den Geschäftsbedingungen.