coin-img-ETHETH-0.94%coin-img-BTCBTC-0.33%coin-img-SOLSOL+0.98%coin-img-BITKBITK+0.00%coin-img-SOULCORESOULCORE-25.58%coin-img-HYPEHYPE+18.39%coin-img-XRPXRP-0.35%coin-img-USDCUSDC-0.01%coin-img-ETHETH-0.94%coin-img-BTCBTC-0.33%coin-img-SOLSOL+0.98%coin-img-BITKBITK+0.00%coin-img-SOULCORESOULCORE-25.58%coin-img-HYPEHYPE+18.39%coin-img-XRPXRP-0.35%coin-img-USDCUSDC-0.01%coin-img-ETHETH-0.94%coin-img-BTCBTC-0.33%coin-img-SOLSOL+0.98%coin-img-BITKBITK+0.00%coin-img-SOULCORESOULCORE-25.58%coin-img-HYPEHYPE+18.39%coin-img-XRPXRP-0.35%coin-img-USDCUSDC-0.01%coin-img-ETHETH-0.94%coin-img-BTCBTC-0.33%coin-img-SOLSOL+0.98%coin-img-BITKBITK+0.00%coin-img-SOULCORESOULCORE-25.58%coin-img-HYPEHYPE+18.39%coin-img-XRPXRP-0.35%coin-img-USDCUSDC-0.01%

LayerZero detalla el exploit del puente rsETH por 292 millones de dólares

LayerZero publicó, junto con Mandiant y CrowdStrike, el informe forense del ataque al puente rsETH ocurrido el 18 de abril, que terminó con la sustracción de 116.500 rsETH, valorados en torno a 292 millones de dólares. Según el documento, el actor vinculado a la RPDC TraderTraitor, también identificado como UNC4899, accedió a la infraestructura de LayerZero tras comprometer en marzo a un desarrollador mediante ingeniería social. LayerZero explicó que el incidente arrancó el 6 de marzo: el atacante obtuvo claves de sesión y penetró en el entorno cloud de RPC de la compañía. Una vez dentro, introdujo software malicioso para alterar la memoria de nodos RPC internos. La manipulación se diseñó para pasar desapercibida ante las herramientas de monitorización, devolviendo respuestas válidas. En paralelo, esos mismos nodos remitían respuestas modificadas a las Decentralized Verifier Networks (DVN) de LayerZero Labs, lo que acabó afectando al proceso de verificación. Para ampliar el impacto, el atacante lanzó un ataque de denegación de servicio contra un proveedor externo de RPC, forzando a que el servicio de firmado de LayerZero Labs dependiera de dos nodos internos ya comprometidos. Mandiant, CrowdStrike y otros investigadores señalan que el mensaje falsificado obtuvo una atestación válida, lo que permitió que el puente rsETH de KelpDAO liberara los activos. LayerZero atribuyó el éxito del robo a que el OApp afectado operaba con una configuración de "single verifier" durante el incidente, sin una segunda DVN independiente que revisara el mensaje. El contrato de destino aceptó una única atestación y desbloqueó los rsETH. La compañía aseguró que no se vieron comprometidos otros OApps, canales ni transacciones. Tras el ataque, LayerZero modificó la gestión de requisitos de seguridad por canal dentro del sistema DVN y afirmó que su DVN dejará de firmar cuando sea el único atestador requerido. En el plano operativo, sustituyó el entorno cloud afectado en lugar de parchearlo, reconstruyó la infraestructura con configuraciones endurecidas y eliminó credenciales heredadas. También implantó credenciales de corta duración, aprobaciones con múltiples personas para cambios de acceso administrativo y verificaciones de dispositivo y sesión. LayerZero indicó que CrowdStrike, Mandiant y zeroShadow continúan apoyando la investigación junto a las fuerzas de seguridad.
Seleccionado
STG
STG+1.87%
Descargo de responsabilidad: El contenido anterior es solo la opinión del autor y no representa la postura de BingX. No debe interpretarse como un consejo de inversión por parte de BingX. Para obtener más información, consulta los Términos y condiciones.