Παραβίαση $290M του Kelp DAO Συνδέεται με την Ομάδα Lazarus και Ασθενή Ασφάλεια Bridge

Κύρια Σημεία

• Περίπου 290–293 εκατομμύρια δολάρια κλάπηκαν από το Kelp DAO μετά από μια εξελιγμένη επίθεση σε κόμβους RPC συνδεδεμένους με το σύστημα επαλήθευσης του LayerZero
• Το Kelp DAO φέρεται να αγνόησε τις συστάσεις ασφαλείας του LayerZero για την εφαρμογή πολλαπλών επαληθευτών, λειτουργώντας με μόνο έναν επαληθευτή
• Προκαταρκτικά στοιχεία δείχνουν την ομάδα Lazarus της Βόρειας Κορέας ως τους δράστες πίσω από αυτή την παραβίαση ασφαλείας
• Εννέα πλατφόρμες DeFi, ιδιαίτερα το Aave, υπέστησαν διαδοχική ζημιά, με τη συνολική κλειδωμένη αξία του Aave να μειώνεται κατά 6 δισεκατομμύρια δολάρια
• Στο μέλλον, το LayerZero έχει δηλώσει ότι θα αρνείται να υποστηρίζει εφαρμογές που λειτουργούν με διαμορφώσεις μονού επαληθευτή

Σε αυτό που αντιπροσωπεύει μία από τις σημαντικότερες παραβιάσεις ασφαλείας αποκεντρωμένων χρηματοοικονομικών του 2026, το Kelp DAO υπέστη απώλειες συνολικού ύψους περίπου 290–293 εκατομμυρίων δολαρίων κατά τη διάρκεια μιας επίθεσης το Σαββατοκύριακο. Το LayerZero, το διασυνδεδεμένο πρωτόκολλο μηνυμάτων που χρησιμοποιήθηκε στο περιστατικό, απέδωσε την ευπάθεια στις αποφάσεις υποδομής του Kelp.

Η παραβίαση εστίασε στον μηχανισμό μεταφοράς token rsETH του Kelp σε διαφορετικά δίκτυα blockchain. Η λειτουργία με αρχιτεκτονική μονού επαληθευτή σήμαινε ότι μόνο μία αρχή χρειαζόταν για την επικύρωση διασυνδεδεμένων μεταφορών. Σύμφωνα με το LayerZero, η εταιρεία είχε προειδοποιήσει ρητά το Kelp για αυτή τη διαμόρφωση και ενθάρρυνε την υιοθέτηση πολλαπλών ανεξάρτητων πηγών επαλήθευσης.

Οι χάκερ διείσδυσαν σε δύο κόμβους απομακρυσμένης κλήσης διαδικασίας—εξειδικευμένους διακομιστές που επιτρέπουν στο λογισμικό να αλληλεπιδρά με δεδομένα blockchain. Αυτοί οι νόμιμοι κόμβοι αντικαταστάθηκαν με παραβιασμένες εκδόσεις που παρέδιδαν δόλιες πληροφορίες στο σύστημα επαλήθευσης του LayerZero, ενώ διατηρούσαν κανονικές εμφανίσεις σε άλλα στοιχεία υποδομής.

Δεδομένου ότι η διαδικασία επαλήθευσης του LayerZero συμβουλευόταν επίσης νόμιμους εξωτερικούς κόμβους, οι επιτιθέμενοι ξεκίνησαν μια καμπάνια κατανεμημένης άρνησης υπηρεσίας για να απενεργοποιήσουν αυτά τα συστήματα. Αυτή η τακτική ανακατηύθυνε την κίνηση δικτύου μέσω της παραβιασμένης υποδομής κατά τη διάρκεια ενός παραθύρου 80 λεπτών από τις 10:20 π.μ. έως τις 11:40 π.μ. Ώρα Ειρηνικού το Σάββατο.

Όταν ενεργοποιήθηκε ο μηχανισμός ανάκαμψης, οι κακόβουλοι κόμβοι μετέδωσαν επιβεβαίωση μιας νόμιμης συναλλαγής στον επαληθευτή. Το πρωτόκολλο γέφυρας του Kelp στη συνέχεια απελευθέρωσε 116.500 rsETH στα πορτοφόλια των επιτιθέμενων. Το εχθρικό λογισμικό στη συνέχεια αυτοκαταστράφηκε, διαγράφοντας όλα τα εγκληματολογικά στοιχεία από τους επηρεαζόμενους διακομιστές.

Διαδοχικός Αντίκτυπος σε Όλο το Οικοσύστημα DeFi

Τα κλεμμένα token rsETH αναπτύχθηκαν ως εξασφάλιση σε διάφορες πλατφόρμες δανεισμού, επιτρέποντας στους επιτιθέμενους να αποσύρουν πραγματικά περιουσιακά στοιχεία. Το Aave, η κυρίαρχη αποκεντρωμένη πλατφόρμα δανεισμού, απορρόφησε τη μεγαλύτερη ζημιά.

Το Aave βρέθηκε να κατέχει μη ρευστή εξασφάλιση rsETH ενώ πολύτιμα περιουσιακά στοιχεία όπως το ETH είχαν ήδη εξαχθεί μέσω μηχανισμών δανεισμού. Το εγγενές token του Aave βυθίστηκε περίπου 15% μέσα σε μια περίοδο 24 ωρών, ενώ το πρωτόκολλο υπέστη περίπου 6 δισεκατομμύρια δολάρια σε αναλήψεις καθώς οι συμμετέχοντες έτρεχαν να αφαιρέσουν τα κεφάλαιά τους.

Όχι λιγότερες από εννέα εφαρμογές DeFi υπέστησαν ζημιά, συμπεριλαμβανομένων των Fluid, Compound Finance, SparkLend και Euler. Η εταιρεία κυβερνοασφάλειας Cyvers χαρακτήρισε το περιστατικό ως «συμβάν διασυνδεδεμένης μετάδοσης» που επεκτείνεται πολύ πέρα από την ευπάθεια μιας μεμονωμένης πλατφόρμας.

Με προκαταρκτική βεβαιότητα, το LayerZero έχει συνδέσει αυτή την επίθεση με την ομάδα Lazarus της Βόρειας Κορέας, ειδικά με το τμήμα της TraderTraitor. Αυτός ο ίδιος οργανισμός εμπλέκεται στην παραβίαση 285 εκατομμυρίων δολαρίων του Drift Protocol την 1η Απριλίου, υποδεικνύοντας ότι η Lazarus έχει εξάγει πάνω από 575 εκατομμύρια δολάρια από τα αποκεντρωμένα χρηματοοικονομικά μέσα σε μια περίοδο 18 ημερών χρησιμοποιώντας δύο διακριτές μεθοδολογίες επίθεσης.

Προσαρμογές Πρωτοκόλλου Ασφαλείας

Το LayerZero αναφέρει ότι δεν υπάρχουν στοιχεία διάδοσης ευπάθειας σε εφαρμογές που λειτουργούν με αρχιτεκτονικές πολλαπλών επαληθευτών. Η εταιρεία έχει αποκαταστήσει την υπηρεσία επαλήθευσής της και ανακοίνωσε μια μόνιμη πολιτική άρνησης επεξεργασίας μηνυμάτων για οποιαδήποτε εφαρμογή που χρησιμοποιεί διαμορφώσεις μονού επαληθευτή.

Ο ιδρυτής του Curve Finance Michael Egorov τόνισε ότι αυτή η παραβίαση αποδεικνύει τους εγγενείς κινδύνους της εξάρτησης από μοναδικές πηγές επαλήθευσης συναλλαγών. Επιπλέον, προειδοποίησε κατά της χρήσης διασυνδεδεμένης υποδομής εκτός αν είναι λειτουργικά απαραίτητη.

Το Kelp παρέμεινε σιωπηλό σχετικά με την έκδοση του LayerZero για τα γεγονότα και δεν απάντησε γιατί το πρωτόκολλο συνέχισε να λειτουργεί με αρχιτεκτονική μονού επαληθευτή παρά τις ρητές προειδοποιήσεις ασφαλείας.

Η ανάρτηση $290M Kelp DAO Breach Tied to Lazarus Group and Weak Bridge Security εμφανίστηκε πρώτα στο Blockonomi.