LayerZero Labs kısa bir süre önce yayınladığı raporda, 293 milyon dolar zarara yol açan KelpDAO köprüsüne yapılan saldırının detaylarını paylaştı. Şirket, saldırının Kuzey Kore bağlantılı Lazarus grubunun bir alt birimi olan TraderTraitor ile ilişkili olabileceğini öne sürdü. Ancak analistler, saldırının gerçekten Kuzey Koreli hackerlar tarafından yapıldığına dair kesin kanıt sunmadı.
Şirkete göre saldırganlar, farklı blockchain ağlarının veri alışverişi yapmasına yardımcı olan LayerZero’nun teknik altyapısının bir bölümünü ele geçirdi. Köprünün diğer protokolleri ise saldırıdan etkilenmedi.
Saldırı nasıl gerçekleşti?
- Geliştiricilere göre saldırı, KelpDAO’nun güvenlik yapılandırmasının yeterince güçlü olmaması nedeniyle mümkün oldu.
- Normalde bu tür sistemlerde güvenlik için birden fazla bağımsız doğrulayıcı (validator) node kullanılır. Böylece biri hacklense bile diğerleri saldırıyı engelleyebilir. Ancak KelpDAO yalnızca LayerZero’ya ait tek bir doğrulayıcı node kullanıyordu.
Hackerların izlediği yöntem
Ön incelemeye göre saldırganlar şu adımları izledi:
- Önce LayerZero sisteminin kullandığı teknik sunucuların (RPC node’larının) listesine erişim sağladılar.
- Daha sonra farklı yerlerde çalışan iki bağımsız sunucuyu hackleyip yazılımlarını zararlı kodla değiştirdiler.
- Bu sunucular üzerinden sisteme sahte bir mesaj gönderildi ve sanki biri kripto transferi yapmış gibi gösterildi.
- Şüphe çekmemek için bu sunucular diğer tüm isteklere normal cevap vermeye devam etti.
- Ayrıca hackerlar DDoS saldırısı düzenleyerek diğer sunucuları sahte taleplerle boğdu.
Sistem aşırı yük nedeniyle hacklenen node’lara yönlendirildi.
Saldırı sonrası
Saldırı tamamlandıktan sonra hackerlar zararlı yazılımları, logları ve ayarları silerek tüm izleri ortadan kaldırdı.
LayerZero geliştiricileri, sistemin şu anda tamamen onarıldığını ve normal şekilde çalıştığını açıkladı. Ayrıca saldırının protokolde bir güvenlik açığından değil, yapılandırma hatasından kaynaklandığını savundular.
Saldırı 18 Nisan Cumartesi günü gerçekleşti. Hackerlar, LayerZero üzerinden çalışan KelpDAO köprüsünden 116.500 adet rsETH (Kelp DAO Restaked ETH) çaldı. Daha sonra saldırganlar bu tokenları Aave V3 platformunda teminat olarak gösterdi ve karşılığında wETH borç aldı
Platform bu teminatı gerçek tokenlar olarak kabul etti, ancak aslında coinler zaten hackerların cüzdanındaydı. Bu durum platformda teminatsız borç oluşmasına yol açtı ve yatırımcılar toplu şekilde para çekmeye başladı.
*Gelişmeler için bizi takip etmeye devam edin!
