LayerZero：KelpDAO 跨鏈橋約2.92億美元被盜　疑涉北韓 Lazarus 集團

據 CoinDesk 報道，LayerZero 在初步報告中表示，上周末針對 KelpDAO 跨鏈橋、導致約2.92億美元資金被盜的攻擊，「很可能」由北韓 Lazarus 集團所為，並指向其 TraderTraitor 分支。相關分析於周一發布。 事件發生在周六，攻擊者自 KelpDAO 橋上盜走 116,500 枚 rsETH（以質押以太坊作支持的流動質押代幣），隨即引發多個平台出現集中提現。去中心化金融市場亦出現資金外流，貸款協議資金流出規模逾100億美元。 LayerZero 指，該次攻擊展現「高度成熟的國家級行動者」特徵，與 Lazarus 一貫手法相符，當中尤以 TraderTraitor 最為可疑。報道引述資料稱，北韓網絡行動由偵察總局（Reconnaissance General Bureau）統籌，轄下多個小組包括 TraderTraitor、AppleJeus、APT38 及 DangerousPassword。Paradigm 研究員 Samczsun 的分析亦提到，TraderTraitor 被視為北韓針對加密資產最具技術能力的單位，過往曾與 Axie Infinity 的 Ronin Bridge 及 WazirX 相關入侵事件扯上關係。 LayerZero 又指出，KelpDAO 以單一驗證者（single validator）批核跨鏈資金的進出，並稱已多次要求對方改用多驗證者架構。LayerZero 表示，未來將不再批准仍採用此配置的任何申請。 安全業界普遍將問題歸因於「單點故障」。網絡安全公司 Sodot 共同創辦人 Shalev Kren 指，無論市場宣傳如何包裝，單一驗證者本質上就是單點失守；只要其中一個檢查節點被攻破，資金即可被轉出，單靠審計或安全評估也無法補救，除非在架構層面移除「單方信任」。 Grvt 區塊鏈主管 Haoze Qiu 亦表示，KelpDAO 似乎接受了對此規模資產而言「冗餘不足」的橋樑安全配置；他同時認為 LayerZero 亦需承擔責任，因事件涉及其驗證者堆疊相關基礎設施，即使未必屬核心協議漏洞。 區塊鏈安全公司 Cyvers 的分析稱，攻擊者在短短三分鐘內再轉走約1億美元，但其地址很快被列入黑名單，行動因而受阻。Cyvers 首席技術官 Mel Dolev 表示，攻擊是透過誤導單一通訊渠道發起：對方先入侵用於核實 Unichain 提現是否真正發生的兩條驗證路徑，回傳虛假的「是」訊號，繼而令其餘路徑離線，迫使驗證者依賴已被入侵的通道。 Dolev 形容：「金庫本身無事、守衛也誠實、門鎖機制運作正常，問題在於有人直接而低調地向負責口頭開門的人說了謊。」 值得留意的是，LayerZero 將 Lazarus 視為最可能元兇，但 Cyvers 在自身分析中未作相同結論。Dolev 表示，從複雜度、規模及協同執行來看，部分模式與朝鮮民主主義人民共和國相關行動相符，但尚未確認任何可歸因的關聯錢包。他補充，惡意節點軟件疑被精心設計，在攻擊結束後自我刪除，清除二進制檔與日誌，以即時及事後抹去痕跡。 本月初，Solana 上一個永續合約相關協議 Drift 亦遭抽走約2.85億美元，其後被指與北韓特工有關。Dolev 指 Drift 事件在準備與執行方式上「非常不同」，但兩宗攻擊都需要長時間部署、深厚專業與龐大資源。 另據另一份報道，Savers 懷疑被盜資金已轉入某個以太坊地址。Chainalysis 調查員 ZachXBT 識別出涉案地址，並連同另外四個攻擊地址一併標記；相關地址的資金來源被指來自混幣器。ZachXBT 表示，Tornado Cash 目前需求旺盛。