SlowMist-Analyse: KelpDAO-Hack durch gezieltes RPC-Poisoning und Fälschung von LayerZero-DVN

Nach einer Analyse von Yu Xian (@evilcos), Gründer von SlowMist, beruht der Diebstahl in Höhe von 290 Mio. US-Dollar im Zusammenhang mit KelpDAO auf einem gezielten Poisoning-Angriff auf die nachgelagerte RPC-Infrastruktur des DVN (Decentralized Verifier Network) von LayerZero. Demnach beschafften sich die Angreifer zunächst die Liste der vom LayerZero-DVN genutzten RPC-Nodes, kompromittierten anschließend zwei voneinander unabhängige Cluster und ersetzten die opgeth-Binärdateien. Über selektive Täuschung lieferten die manipulierten Nodes ausschließlich dem DVN gefälschte, bösartige Payloads aus, während alle anderen IPs unveränderte, legitime Daten erhielten. Parallel dazu wurden nicht kompromittierte RPC-Nodes per DDoS angegriffen, um das DVN zum Failover auf die vergifteten Nodes zu zwingen. Nachdem die gefälschten Nachrichten erfolgreich validiert worden waren, zerstörte sich die Schad-Binary selbst und löschte Protokolle. In der Folge erteilte das LayerZero-DVN Validierungen für Transaktionen, die nie stattgefunden hatten.