coin-img-ETHETH-0.90%coin-img-BTCBTC-0.37%coin-img-SOLSOL+0.98%coin-img-BITKBITK+0.00%coin-img-SOULCORESOULCORE-25.34%coin-img-HYPEHYPE+18.22%coin-img-XRPXRP-0.34%coin-img-USDCUSDC-0.01%coin-img-ETHETH-0.90%coin-img-BTCBTC-0.37%coin-img-SOLSOL+0.98%coin-img-BITKBITK+0.00%coin-img-SOULCORESOULCORE-25.34%coin-img-HYPEHYPE+18.22%coin-img-XRPXRP-0.34%coin-img-USDCUSDC-0.01%coin-img-ETHETH-0.90%coin-img-BTCBTC-0.37%coin-img-SOLSOL+0.98%coin-img-BITKBITK+0.00%coin-img-SOULCORESOULCORE-25.34%coin-img-HYPEHYPE+18.22%coin-img-XRPXRP-0.34%coin-img-USDCUSDC-0.01%coin-img-ETHETH-0.90%coin-img-BTCBTC-0.37%coin-img-SOLSOL+0.98%coin-img-BITKBITK+0.00%coin-img-SOULCORESOULCORE-25.34%coin-img-HYPEHYPE+18.22%coin-img-XRPXRP-0.34%coin-img-USDCUSDC-0.01%

LayerZero legt Details zum rsETH-Bridge-Hack über rund 292 Mio. US-Dollar offen

LayerZero hat gemeinsam mit Mandiant und CrowdStrike einen Abschlussbericht zum rsETH-Bridge-Vorfall vom 18. April vorgelegt. Dabei wurden 116.500 rsETH abgezogen, bewertet mit rund 292 Mio. US-Dollar. Laut Bericht steht hinter dem Angriff der mit Nordkorea in Verbindung gebrachte Akteur TraderTraitor (auch UNC4899), der bereits im März einen Entwickler ins Visier nahm. Nach Angaben von LayerZero begann die Kompromittierung am 6. März durch Social Engineering gegen einen LayerZero-Labs-Entwickler. Der Angreifer erbeutete Session-Keys und verschaffte sich Zugang zur RPC-Cloud-Umgebung von LayerZero. Anschließend wurde der Arbeitsspeicher interner RPC-Nodes mittels Schadsoftware manipuliert. Die Systeme lieferten gegenüber Monitoring-Tools weiterhin unauffällige, legitime Antworten, sendeten zugleich aber verfälschte Antworten an die Decentralized Verifier Networks (DVNs) von LayerZero. Zur Ausweitung des Angriffs wurde zusätzlich ein Denial-of-Service-Angriff gegen einen externen RPC-Anbieter gestartet. In der Folge stützte sich der Signing-Service von LayerZero Labs auf zwei bereits kompromittierte interne Nodes. Mandiant, CrowdStrike und unabhängige Forscher halten fest, dass die gefälschte Nachricht anschließend eine gültige Attestierung erhielt. Dadurch gab die KelpDAO-rsETH-Bridge die Vermögenswerte frei. LayerZero zufolge wurde der Vorfall durch eine Single-Verifier-Konfiguration der betroffenen OApp begünstigt: Es gab keine zweite unabhängige DVN, die die gefälschte Nachricht zusätzlich geprüft hätte. Der Ziel-Contract akzeptierte eine einzelne Attestierung und entsperrte die rsETH-Bestände. LayerZero betonte, dass keine weiteren OApps, Channels oder Transaktionen kompromittiert wurden. Als Reaktion passt LayerZero die Sicherheitsanforderungen im DVN-System an. Künftig soll die DVN nicht mehr als alleiniger, notwendiger Attestierer signieren. Zudem wurde die betroffene Cloud-Umgebung nicht gepatcht, sondern vollständig ersetzt und mit gehärteten Konfigurationen neu aufgebaut; veraltete Zugangsdaten wurden entfernt. Ergänzend führte das Unternehmen kurzlebige Credentials, Mehrpersonen-Freigaben für Änderungen an administrativen Zugriffsrechten sowie zusätzliche Geräte- und Session-Validierungsprüfungen ein. Die Untersuchung läuft weiter. Neben CrowdStrike und Mandiant unterstützt auch zeroShadow die Aufarbeitung in Zusammenarbeit mit Strafverfolgungsbehörden.
Ausgewählt
STG
STG+1.87%
Haftungsausschluss: Die obigen Inhalte geben lediglich die Meinung des Autors wieder und spiegeln nicht die Haltung von BingX wider. Sie stellen keine Anlageberatung durch BingX dar. Details finden Sie in den Geschäftsbedingungen.