Ideas clave:
- El hackeo de criptomonedas de 290 millones de dólares de Kelp DAO se ha vinculado a Lazarus Group y TraderTraitor.
- La configuración de un único verificador permitió el aprovechamiento a través de nodos RPC comprometidos.
- El ataque desencadenó el estrés de Aave, la preocupación por la morosidad y la exposición a rsETH.
Tras el masivo pirateo de 290 millones de dólares del cripto DAO de Kelp, LayerZero publicó sus conclusiones iniciales. La plataforma de cadena de bloques vinculó la criptoestafa al famoso grupo norcoreano Lazarus. Los descubrimientos también han revelado que la criptoestafa se basa en una configuración de verificador único, que es la vulnerabilidad clave de la brecha.
LayerZero vincula el cripto hackeo de Kelp a una debilidad crítica de configuración
En un informe publicado el 20 de abril, LayerZero señaló que los atacantes implicados en el cripto hackeo de Kelp DAO comprometieron dos nodos RPC. El exploit criptográfico se desarrolló mediante un ataque coordinado a la red de verificadores. Según el informe,
“Los indicadores preliminares sugieren la atribución a un actor estatal altamente sofisticado, probablemente el Grupo Lazarus de la RPDC, más concretamente TraderTraitor”.
Los atacantes también lanzaron un ataque de Denegación de Servicio Distribuido (DDoS) contra los nodos sanos restantes. Esto obligó al sistema a depender de los comprometidos. Esta combinación de manipulación de nodos e interrupción de la red desempeñó un papel crucial en el éxito del ataque.
Otro incidente importante del que se ha informado hoy es la estafa criptográfica Vercel, que afortunadamente no ha provocado ninguna pérdida financiera.
Sin respaldo no hay defensa: Dentro del fallo Kelp DAO
El núcleo del hackeo criptográfico fue la decisión de Kelp DAO de operar sin una configuración de múltiples verificadores. LayerZero señaló que esta configuración creaba un claro punto único de fallo. En pocas palabras, no había red de seguridad.
La empresa declaró que ya había aconsejado a Kelp DAO que utilizara múltiples verificadores para reducir el riesgo. Pero esas recomendaciones no se siguieron.
Sin ninguna redundancia, los atacantes tuvieron que explotar la vulnerabilidad a través de un único canal para completar con éxito el exploit. Esto dio a los atacantes la oportunidad de enviar un mensaje fraudulento a través de la cadena sin que fuera verificado de forma independiente.
En este caso, Kelp DAO utilizaba un mecanismo DVN 1-de-1. Esto significaba que sólo había un verificador que el sistema utilizaba, sin ninguna copia de seguridad. Cuando los atacantes enviaron el mensaje falso, no había ninguna verificación adicional que pudiera haber señalado el problema. Esto hizo que el protocolo aceptara el mensaje y liberara los tokens.
Del ejemplo anterior se desprende que confiar en un único mecanismo de verificación plantea riesgos importantes para un protocolo DeFi. El protocolo podría acabar perdiendo muchos fondos si no se tiene el suficiente cuidado.
¿Está el Grupo Lazarus detrás del hackeo de criptomonedas Kelp DAO?
Además de encontrar el fallo, LayerZero también ha insinuado la posible conexión del Grupo Lazarus de Corea del Norte en el hackeo de criptomonedas Kelp DAO.
En concreto, la plataforma está vinculada a la filial del grupo, TraderTraitor. El grupo es bien conocido por atacar plataformas de criptomonedas. Ha estado detrás de varios ataques importantes en el pasado, incluidos exploits DeFi a gran escala.
No hay contagio de protocolo, pero el impacto se extiende al Aave
LayerZero ha aclarado que el exploit Kelp DAO no ha afectado a su ecosistema más amplio. Según el equipo, hay “cero contagio” a cualquier otro activo o aplicación de cadena cruzada. Esto significa que el problema quedó aislado en la configuración de Kelp DAO. Los nodos RPC comprometidos ya han sido eliminados y sustituidos por completo. El DVN de LayerZero Labs vuelve a estar operativo.
Sin embargo, aunque el núcleo del protocolo no se haya visto comprometido, las consecuencias de este hackeo han seguido resonando en todo el espacio DeFi. Con las actividades del pirata informático ejerciendo una presión indebida sobre otros sistemas, como Aave, el protocolo se vio obligado a hacer frente a las deudas incobrables y a la exposición a los tokens rsETH robados.
