Menos de três semanas após hackers ligados à Coreia do Norte terem usado engenharia social para atacar a empresa de negociação de cripto Drift, hackers ligados à nação parecem ter realizado outra grande exploração com a Kelp.
O ataque à Kelp, um protocolo de restaking ligado à infraestrutura cross-chain da LayerZero, sugere uma evolução na forma como os hackers ligados à Coreia do Norte operam, não apenas procurando bugs ou credenciais roubadas, mas explorando as suposições básicas incorporadas em sistemas descentralizados.
Em conjunto, os dois incidentes apontam para algo mais organizado do que uma série de hacks isolados, à medida que a Coreia do Norte continua a intensificar os seus esforços para sequestrar fundos do setor cripto.
"Isto não é uma série de incidentes; é uma cadência", disse Alexander Urbelis, diretor de segurança da informação e conselheiro geral da ENS Labs. "Não é possível corrigir o caminho para fora de um cronograma de aquisição."
Mais de 500 milhões de dólares foram desviados através das explorações da Drift e Kelp em pouco mais de duas semanas.
Como a Kelp foi violada
No seu núcleo, a exploração da Kelp não envolveu quebrar encriptação ou decifrar chaves. O sistema funcionou realmente da forma como foi projetado. Em vez disso, os atacantes manipularam os dados alimentados no sistema e forçaram-no a depender dessas entradas comprometidas, fazendo com que aprovasse transações que nunca ocorreram.
"A falha de segurança é simples: uma mentira assinada continua a ser uma mentira", disse Urbelis. "As assinaturas garantem autoria; não garantem verdade."
Em termos mais simples, o sistema verificou quem enviou a mensagem, não se a mensagem em si estava correta. Para especialistas em segurança, isso torna isto menos sobre um novo hack inteligente e mais sobre explorar como o sistema foi configurado.
"Este ataque não foi sobre quebrar criptografia", disse David Schwed, COO da empresa de segurança blockchain SVRN. "Foi sobre explorar como o sistema foi configurado."
Um problema-chave foi uma escolha de configuração. A Kelp dependia de um único verificador, essencialmente um verificador, para aprovar mensagens cross-chain. Isso ocorre porque é mais rápido e simples de configurar, mas remove uma camada de segurança crítica.
A LayerZero recomendou desde então usar múltiplos verificadores independentes para aprovar transações nas consequências, semelhante a exigir múltiplas assinaturas numa transferência bancária. Alguns no ecossistema contestaram esse enquadramento, dizendo que a configuração padrão da LayerZero era ter um único verificador.
"Se identificou uma configuração como insegura, não a envie como opção", disse Schwed. "Segurança que depende de todos lerem os documentos e acertarem não é realista."
As consequências não ficaram limitadas à Kelp. Como muitos sistemas DeFi, os seus ativos são usados em múltiplas plataformas, o que significa que os problemas podem espalhar-se.
"Estes ativos são uma cadeia de IOUs", disse Schwed. "E a cadeia é tão forte quanto os controlos em cada elo."
Quando um elo se quebra, outros são afetados. Neste caso, plataformas de empréstimo como a Aave que aceitaram os ativos impactados como garantia estão agora a lidar com perdas, transformando uma única exploração num evento de stress mais amplo.
Marketing de descentralização
O ataque também expõe uma lacuna entre como a descentralização é comercializada e como realmente funciona.
"Um único verificador não é descentralizado", disse Schwed. "É um verificador descentralizado centralizado."
Urbelis coloca de forma mais ampla.
"A descentralização não é uma propriedade que um sistema tem. É uma série de escolhas", disse ele. "E a pilha é tão forte quanto a sua camada mais centralizada."
Na prática, isso significa que mesmo sistemas que parecem descentralizados podem ter pontos fracos, especialmente nas camadas menos visíveis como fornecedores de dados ou infraestrutura. É cada vez mais aí que os atacantes estão a concentrar-se.
Essa mudança pode explicar o direcionamento recente do Lazarus.
O grupo começou a concentrar-se em infraestrutura cross-chain e restaking, disse Urbelis, as partes das cripto que movem ativos entre sistemas ou permitem que sejam reutilizados.
Estas camadas são críticas mas complexas, muitas vezes situando-se por baixo de aplicações mais visíveis. Também tendem a deter grandes quantidades de valor, tornando-as alvos atraentes.
Se ondas anteriores de hacks cripto se concentraram em exchanges ou falhas de código óbvias, a atividade recente sugere uma mudança para o que poderia ser chamado de canalização da indústria, os sistemas que conectam tudo, mas são mais difíceis de monitorizar e mais fáceis de configurar incorretamente.
À medida que o Lazarus continua a adaptar-se, o maior risco pode não ser vulnerabilidades desconhecidas, mas conhecidas que não são totalmente abordadas.
A exploração da Kelp não introduziu um novo tipo de fraqueza. Mostrou quão exposto o ecossistema permanece a vulnerabilidades familiares, especialmente quando a segurança é tratada como uma recomendação em vez de um requisito.
E à medida que os atacantes se movem mais rapidamente, essa lacuna está a tornar-se mais fácil de explorar e muito mais cara de ignorar.
Leia mais: Hackers norte-coreanos estão a realizar grandes roubos patrocinados pelo Estado para gerir a sua economia e programa nuclear
Fonte: https://www.coindesk.com/tech/2026/04/20/north-korea-s-crypto-heist-playbook-is-expanding-and-defi-keeps-getting-hit
