$290 miljoni Kelp DAO rünnak seotud Lazarus Group’iga ja nõrga sildturvaga

Peamised järeldused

• Kelp DAOlt varastati keerukas rünnakuga LayerZero ristahela kontrollisüsteemiga seotud RPC-sõlmudele ligikaudu 290–293 miljonit USA dollarit
• Kelp DAO oli väidetavalt ignoreerinud LayerZero turvarekomendusi mitme kinnitaja rakendamise kohta ja tegutses ainult ühe kinnitajaga
• Esmased tõendid viitavad selle turvarikkumuse sooritanud põhjapoolse Korea Lazarus Groupile
• Üheksa DeFi-platvormi, eriti Aave, kandis kaskaadset kahju, mille tõttu Aave kogu lukustatud väärtus vähenes 6 miljardi dollari võrra
• Edaspidi on LayerZero teatanud, et ta keeldub toetamast rakendusi, mis töötavad ühe kinnitajaga konfiguratsioonis

Ühes 2026. aasta olulisematest decentraliseeritud finantssektori turvarikkumustest kandis Kelp DAO nädalavahetusel ligikaudu 290–293 miljoni dollari suuruseid kaotusi. Ristahela sõnumite edastamise protokoll LayerZero, mida sündmuses kasutati, omistas nõrga koha Kelp infrastruktuuri otsustele.

Rikkumus keskendus Kelp rsETH-taandite ülekandele erinevatele blokkiahelatele. Ühe kinnitaja arhitektuuriga töötamine tähendas, et ristahela ülekannete kinnitamiseks oli vajalik ainult üks volitusorgan. LayerZero väitis, et ettevõte oli Kelpile selgelt hoiatanud sellest konfiguratsioonist ja soovinud, et nad kasutaksid mitut sõltumatut kinnitamisallikat.

Hakkajad tungisid kahte kaugprotseduurikõne (RPC) sõlme – spetsialiseeritud servereid, mis võimaldavad tarkvaral suhelda blokkiahela andmetega. Need õiguspäraseid sõlmi asendati kompromitteeritud versioonidega, mis andsid valeandmeid LayerZero kinnitussüsteemile, säilitades samas normaalse välimuse muude infrastruktuuri komponentide jaoks.

Kuna LayerZero kinnitamisprotsess konsulteeris ka õiguspäraseid väliste sõlmi, käivitasid rünnaku sooritajad jaotatud teenusekatkestuse (DDoS) kampaania, et need süsteemid välja lülitada. See taktika suunas võrguliiklust kompromitteeritud infrastruktuuri kaudu 80-minutilise akna jooksul laupäeval kell 10:20–11:40 Päikesekellaaeg (PT).

Kui tagavaramehhanism aktiveerus, saatisid kurja tarkvara sisaldavad sõlmed kinnitajaile kinnituse õiguspärase tehingu kohta. Kelpi sildprotokoll vabastas seejärel 116 500 rsETH-i rünnaku sooritajate portfellidesse. Võõras tarkvara kustutas ise end, kustutades kogu forensilise tõendusmaterjali mõjutatud serveritelt.

Kaskaadne mõju DeFi-ökosüsteemile

Varastatud rsETH-taanditeid kasutati kinnatena erinevates laenuplatvormides, mis võimaldas rünnaku sooritajatel välja võtta autentseid varasid. Dominantseim decentraliseeritud laenuplatvorm Aave kandis kõige suuremat kahju.

Aave endas oli illikviidsed rsETH-kinnatud varad, samas kui väärtuslikke varasid, näiteks ETH-i, oli juba laenamismehhanismide kaudu välja võetud. Aave oma tokeni hind langes umbes 15% 24 tunni jooksul, samas kui protokoll kogus ligikaudu 6 miljardi dollari suuruseid väljavõtteid, kuna osalejad kiirustasid oma vahendeid välja võtma.

Vähemalt üheksa DeFi-rakendust kandis kahju, sealhulgas Fluid, Compound Finance, SparkLend ja Euler. Küberturvalisusfirma Cyvers iseloomustas sündmust „ristprotokollilise nakatumisüritusena“, mis ulatus palju kaugemale ühe platvormi nõrgast kohast.

Esmase kindlusega on LayerZero seotud selle rünnaku Põhja-Korea Lazarus Groupiga, täpsemalt selle TraderTraitor-üksusega. Samasugune organisatsioon oli kaasatud 1. aprillil toimunud 285 miljoni dollari suuruses Drift Protocoli rünnakus, mis tähendab, et Lazarus on 18 päeva jooksul kahe erineva rünnakumeetodiga deentraliseeritud finantssektorist ära saanud üle 575 miljoni dollari.

Turvakava kohandused

LayerZero ei ole leidnud tõendeid selle kohta, et nõrk koht oleks levima hakanud rakendustele, mis töötavad mitme kinnitajaga arhitektuuris. Ettevõte on taastanud oma kinnitusteenvõtmise teenuse ja teatanud püsivast poliitikast, mille kohaselt ei töötle nad enam sõnumeid ühe kinnitajaga konfiguratsioonis tegutsevate rakenduste jaoks.

Curve Finance asutaja Michael Egorov rõhutas, et see rünnak näitab ohtu, mis tekib üheainuselt tehingute kinnitamisallikale toetumisel. Ta hoiatas lisaks ristahela infrastruktuuri kasutamise eest, kui seda pole operatsiooniliselt vajalik.

Kelp on jätnud LayerZero versiooni sündmustest kommentaarideta ja ei ole vastanud küsimusele, miks protokoll jätkas ühe kinnitajaga arhitektuuri kasutamist, kuigi turvahoiatused olid selgelt antud.

Postitus „$290M Kelp DAO rünnak seotud Lazarus Groupiga ja nõrga silla turvaga“ ilmus esimesena Blockonomil.