LayerZero связывает взлом моста KelpDAO на $292 млн с северокорейской группировкой Lazarus

LayerZero в предварительном отчете заявила, что атака на кроссчейн-мост KelpDAO, в результате которой за выходные было похищено около $292 млн, с "большой вероятностью" связана с северокорейской Lazarus Group, в частности с ее подразделением TraderTraitor. Об этом сообщил CoinDesk; разбор ситуации опубликован в понедельник. В субботу злоумышленники вывели 116 500 rsETH (ликвидный стейкинг-токен, обеспеченный застейканным Ethereum) из моста KelpDAO, после чего на ряде площадок началась волна выводов. В сегменте DeFi, по данным сообщения, более $10 млрд средств покинули кредитные протоколы в экосистеме Avail. LayerZero отмечает, что характер атаки соответствует действиям "высококвалифицированного государственного игрока", и указывает на Lazarus/TraderTraitor. Как следует из публикаций, кибероперации КНДР курирует Reconnaissance General Bureau; под его управлением работают несколько команд, включая TraderTraitor, AppleJeus, APT38 и DangerousPassword. Исследователь Paradigm Samczsun также участвовал в анализе. TraderTraitor называют наиболее продвинутой из северокорейских групп, нацеленных на крипторынок; ранее ее связывали со взломом моста Ronin (Axie Infinity) и атакой на WazirX. По версии LayerZero, KelpDAO использовала одиночного валидатора для подтверждения входящих и исходящих переводов через мост. Компания утверждает, что неоднократно рекомендовала перейти на схему с несколькими валидаторами, и добавляет: она больше не будет одобрять заявки, где сохраняется такая архитектура. Наблюдатели расценили инцидент как демонстрацию "единой точки отказа". Шалев Крен, сооснователь компании по кибербезопасности Sodot, заявил, что доверие к одному валидатору остается "single point of failure" вне зависимости от того, как это пытаются преподнести маркетологи. По его словам, одного скомпрометированного контрольного пункта достаточно, чтобы вывести средства, и никакой аудит не устранит проблему без отказа от "одностороннего доверия" в самой архитектуре. Похожую оценку дал Хаоцзэ Цю, руководитель блокчейна Grvt: по его мнению, Kelp DAO приняла схему защиты моста с недостаточной избыточностью для активов такого масштаба. Он также отметил, что LayerZero "несет ответственность", поскольку взлом затронул инфраструктуру, связанную со стеком ее валидаторов, даже если это не описывается как уязвимость базового протокола. Блокчейн-компания Cyvers сообщила, что атакующий вывел еще $100 млн всего за три минуты, после чего адрес был оперативно внесен в черный список, и дальнейшие действия остановились. Технический директор Cyvers Мел Доулев заявил, что атака началась с обмана одного канала коммуникации: злоумышленник скомпрометировал два пути верификации, которые подтверждали, что вывод на Unichain действительно произошел, подавая ложные ответы "да", а затем отключил остальные пути, вынудив валидатор полагаться на скомпрометированные. "Хранилище в порядке. Охранник честен. Замок работает нормально," — описал ситуацию Доулев. "Ложь тихо и напрямую сказали человеку, который устно открыл хранилище." При этом LayerZero прямо указывает на Lazarus как на вероятного исполнителя, тогда как Cyvers в собственном разборе к такому выводу не пришла. Доулев отметил, что по сложности, масштабу и координации ряд признаков соответствует действиям КНДР, но подтвержденных связанных кошельков пока нет. Он добавил, что вредоносное ПО узла было спроектировано так, чтобы удалять себя после завершения атаки, стирая бинарные файлы и логи для сокрытия следов в моменте и постфактум. В начале месяца злоумышленники вывели около $285 млн из Drift — протокола перпетуальных контрактов в сети Solana — и последующие выводы связывали с агентами КНДР. Доулев подчеркнул, что взлом Drift "сильно отличался по подготовке и исполнению", но обе атаки требовали длительной подготовки, глубокой экспертизы и значительных ресурсов. Cyvers предполагает, что похищенные средства были переведены на один из адресов Ethereum, о котором говорится в отдельном материале. Исследователь Chainalysis ZachXBT идентифицировал адрес атаки и отметил его вместе с еще четырьмя адресами, связанными с инцидентом. По словам ZachXBT, финансирование этих адресов шло через криптомиксеры; Tornado Cash, по его оценке, сейчас пользуется повышенным спросом.