Менш ніж через три тижні після того, як хакери, пов'язані з Північною Кореєю, використали соціальну інженерію для атаки на криптотрейдингову компанію Drift, хакери, пов'язані з цією країною, здається, здійснили ще один серйозний злом Kelp.
Атака на Kelp, протокол рестейкінгу, пов'язаний з кросчейн інфраструктурою LayerZero, свідчить про еволюцію в роботі хакерів, пов'язаних з Північною Кореєю, які не просто шукають помилки або вкрадені облікові дані, а використовують базові припущення, закладені в децентралізовані системи.
Разом ці два інциденти вказують на щось більш організоване, ніж низка одноразових зломів, оскільки Північна Корея продовжує посилювати свої зусилля щодо викрадення коштів з криптосектору.
«Це не серія інцидентів; це ритм», — сказав Олександр Урбеліс, головний офіцер з інформаційної безпеки та генеральний юрисконсульт ENS Labs. «Ви не можете виправити патчами графік постачання».
Понад 500 мільйонів доларів було викрадено через злами Drift та Kelp лише за трохи більше двох тижнів.
Як було зламано Kelp
По суті, злом Kelp не передбачав зламу шифрування або злому ключів. Система фактично працювала так, як було задумано. Натомість зловмисники маніпулювали даними, які надходять у систему, і змусили її покладатися на ці скомпрометовані вхідні дані, що призвело до схвалення транзакцій, які насправді ніколи не відбувалися.
«Збій безпеки простий: підписана брехня все одно залишається брехнею», — сказав Урбеліс. «Підписи гарантують авторство; вони не гарантують правди».
Простіше кажучи, система перевіряла, хто надіслав повідомлення, а не те, чи було саме повідомлення правильним. Для експертів з безпеки це менше про розумний новий злом і більше про використання того, як була налаштована система.
«Ця атака не була про злом криптографії», — сказав Девід Швед, операційний директор компанії з безпеки блокчейну SVRN. «Вона була про використання того, як була налаштована система».
Однією з ключових проблем був вибір конфігурації. Kelp покладався на одного верифікатора, по суті одного перевіряючого, для схвалення кросчейн повідомлень. Це тому, що це швидше та простіше налаштувати, але це усуває критичний рівень безпеки.
З того часу LayerZero рекомендував використовувати кілька незалежних верифікаторів для схвалення транзакцій після інциденту, подібно до вимоги кількох підписів для банківського переказу. Деякі в екосистемі заперечували проти такого формулювання, стверджуючи, що стандартне налаштування LayerZero передбачало одного верифікатора.
«Якщо ви визначили конфігурацію як небезпечну, не постачайте її як опцію», — сказав Швед. «Безпека, яка залежить від того, щоб усі читали документацію та робили все правильно, нереалістична».
Наслідки не обмежилися лише Kelp. Як і багато систем DeFi (Децентралізовані фінанси), його активи використовуються на кількох платформах, що означає, що проблеми можуть поширюватися.
«Ці активи — це ланцюг боргових зобов'язань», — сказав Швед. «І ланцюг настільки міцний, наскільки міцний контроль на кожній ланці».
Коли одна ланка ламається, інші зазнають впливу. У цьому випадку кредитні платформи, такі як Aave, які прийняли постраждалі активи як забезпечення, тепер мають справу зі збитками, перетворюючи один злом на більш широку подію стресу.
Маркетинг децентралізації
Атака також виявляє розрив між тим, як децентралізація рекламується, і тим, як вона насправді працює.
«Один верифікатор не є децентралізованим», — сказав Швед. «Це централізований децентралізований верифікатор».
Урбеліс формулює це ширше.
«Децентралізація — це не властивість, яку має система. Це серія виборів», — сказав він. «І стек настільки міцний, наскільки міцний його найбільш централізований рівень».
На практиці це означає, що навіть системи, які здаються децентралізованими, можуть мати слабкі місця, особливо в менш видимих рівнях, таких як постачальники даних або інфраструктура. Саме на них все більше зосереджуються зловмисники.
Цей зсув може пояснити нещодавні цілі Lazarus.
Група почала зосереджуватися на кросчейн та рестейкінговій інфраструктурі, сказав Урбеліс, частинах криптовалюти, які переміщують активи між системами або дозволяють їх повторно використовувати.
Ці рівні є критичними, але складними, часто розташовуючись під більш видимими застосунками. Вони також зазвичай зберігають великі обсяги вартості, що робить їх привабливими цілями.
Якщо попередні хвилі криптовалютних зломів зосереджувалися на біржах або очевидних недоліках коду, нещодавня активність свідчить про перехід до того, що можна назвати сантехнікою галузі, системами, які з'єднують все разом, але їх важче відстежувати та легше неправильно налаштувати.
Оскільки Lazarus продовжує адаптуватися, найбільший ризик може полягати не в невідомих вразливостях, а в відомих, які не повністю усунуті.
Злом Kelp не представив нового виду слабкості. Він показав, наскільки вразливою залишається децентралізована екосистема до знайомих, особливо коли безпека розглядається як рекомендація, а не вимога.
І оскільки зловмисники рухаються швидше, цей розрив стає легшим для використання та набагато дорожчим для ігнорування.
Читайте більше: північнокорейські хакери здійснюють масштабні державні пограбування для управління економікою та ядерною програмою
Джерело: https://www.coindesk.com/tech/2026/04/20/north-korea-s-crypto-heist-playbook-is-expanding-and-defi-keeps-getting-hit
