在周末，导致大约2.92亿美元从KelpDAO跨链桥中被抽走的漏洞“很可能”是朝鲜的拉扎勒斯集团，特别是其TraderTraitor子单位的所为，LayerZero在周一的一份初步分析中表示。

攻击者在周六从KelpDAO桥中抽走了116,500个rsETH，这是一种由质押以太坊支持的流动再质押代币，随后引发了整个去中心化金融领域的提款，导致超过100亿美元从借贷协议Aave中被撤回。

LayerZero表示，这次攻击体现了“一个高度复杂的国家行为者的特征，很可能是朝鲜的拉扎勒斯集团”，特别强调了该集团的TraderTraitor子单位。

根据Paradigm研究员Samczsun的分析，朝鲜的网络行动隶属于侦察总局，该机构下设多个不同的单位，包括TraderTraitor、AppleJeus、APT38和DangerousPassword。

在这些子单位中，TraderTraitor被标记为目标加密货币的最复杂的朝鲜参与者，曾与Axie Infinity Ronin Bridge和WazirX泄露事件有关联。

LayerZero表示，KelpDAO使用了单个验证者来批准进出桥的转账，并补充说它曾一再敦促KelpDAO改用多个验证者。

展望未来，LayerZero表示将停止批准仍在使用该设置的任何应用程序的消息。

单点故障

观察人士表示，此次漏洞暴露了桥的构建如何依赖于单一验证者。

根据加密安全公司Sodot的联合创始人Shalev Keren对Decrypt的说法，这是一种“单点故障，无论营销如何称呼它”。

一个被攻击的检查点就足以使资金离开桥，而没有任何审计或安全审查能够修复这一缺陷，除非“从架构本身移除单边信任，”Keren说。

攻击者在三分钟内接近抽走另外1亿美元，但由于快速黑名单的介入，他们被切断，区块链安全公司Cyvers的分析显示。这项操作是基于欺骗单一的通信渠道，Cyvers首席技术官Meir Dolev告诉Decrypt。

攻击者利用了验证者用来检查是否在Unichain上实际发生提款的两条线路，通过这些线路输入了伪造的“是”回应，然后将剩余线路下线，迫使验证者依赖被攻陷的线路。

“保险库没问题，守卫很诚实，门的机制也正常工作，”Dolev说。“谎言直接传递给了唯一能打开门的一方。”

尽管LayerZero的基础设施为被抽走的桥提供了支持，并指向拉扎勒斯作为可能的罪魁祸首，但Cyvers在自己的分析中没有做出同样的归因。



Dolev表示，一些模式与朝鲜相关操作在复杂性、规模和协调执行上相匹配，但尚未确认与该集团相关的任何钱包集群。

恶意节点软件被设计为在攻击结束后自行删除，以实时代和事后清除二进制文件和日志，以模糊攻击者的踪迹，他补充道。

本月初，攻击者抽走了大约2.85亿美元，从Solana的永续协议Drift中，在这次攻击的归因于朝鲜特工的事件中，后续归因得到了确认。

Dolev指出，Drift的黑客事件在“准备和执行上非常不同”，但两个攻击都需要较长的前期准备时间、深厚的专业知识和大量资源才能实现。

Cyvers怀疑被盗资金已经转移到这个以太坊地址，与链上调查员ZachXBT的另一份报告一致，该报告将其与其他四个地址标记为可疑。攻击地址的资金通过硬币混合器Tornado Cash进行。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。