SlowMist: Analyse zeigt KelpDAO-Angriff über LayerZero-DVN und manipulierte RPC-Infrastruktur

Huo Xing Finance berichtet unter Berufung auf eine Analyse von Yu Xian (\u0022@evilcos\u0022), Gründer von SlowMist, dass der Kern des Diebstahls im Umfang von 290 Mio. US-Dollar im Zusammenhang mit KelpDAO ein gezielter \u0022Poisoning\u0022-Angriff auf die nachgelagerte RPC-Infrastruktur des DVN (Decentralized Verifier Network) von LayerZero gewesen sei. Demnach gingen die Angreifer schrittweise vor: Zunächst beschafften sie sich die Liste der vom LayerZero-DVN genutzten RPC-Knoten. Anschließend kompromittierten sie zwei voneinander unabhängige Cluster und ersetzten dort die opgeth-Binärdateien. Über selektive Täuschung lieferten die manipulierten Knoten ausschließlich dem DVN gefälschte, schädliche Payloads aus, während andere IPs weiterhin korrekte Daten erhielten. Parallel dazu wurden DDoS-Attacken gegen nicht kompromittierte RPC-Knoten gefahren, um den Failover des DVN auf die infizierten Knoten zu erzwingen. Nach erfolgreicher Validierung der gefälschten Nachrichten habe sich die schädliche Binärdatei selbst zerstört und Logs gelöscht. In der Folge stellte das LayerZero-DVN Validierungen für Transaktionen aus, die tatsächlich nie stattgefunden hatten.