Pohjois-Korean kryptoryöstöt laajenevat – DeFi-alustat yhä useammin…

Alle kolme viikkoa sen jälkeen, kun Pohjois-Korean yhteydessä olevat hakkerit käyttivät sosiaalista manipulointia kryptokauppayhtiö Driftin kaappaamiseen, samat toimijat näyttävät onnistuneen toisessa suuremmassa hyökkäyksessä Kelpiin. Kelp on restaking-protokolla, joka on yhteydessä LayerZeron cross-chain-infrastruktuuriin. Tämä tapaus viittaa siihen, että Pohjois-Korean hakkerit kehittävät toimintaansa, eivätkä enää keskity vain bugeihin tai varastettuihin tunnuksiin, vaan hyväksikäyttävät hajautettujen järjestelmien perusolettamuksia. Yhdessä Driftin ja Kelpin tapaukset osoittavat järjestelmällisempää toimintaa kuin satunnaisia iskuja, kun Pohjois-Korea tehostaa pyrkimyksiään kaapata varoja kryptosektorista. “Tämä ei ole sarja tapauksia; se on rytmi”, sanoi Alexander Urbelis, ENS Labsin tietoturvajohtaja ja lakiasiainjohtaja. Yli 500 miljoonaa dollaria on siirretty Driftin ja Kelpin hyökkäyksissä vain kahdessa viikossa.

Miten Kelpin hyökkäys tapahtui

Kelpin hyökkäyksessä ei murrettu salausta tai avaimia. Järjestelmä toimi suunnitellusti, mutta hyökkääjät manipuloivat siihen syötettyä dataa ja pakottivat sen luottamaan vääristyneisiin syötteisiin, mikä johti väärien transaktioiden hyväksyntään. “Turvallisuusvirhe on yksinkertainen: allekirjoitettu valhe on silti valhe”, Urbelis totesi. “Allekirjoitukset takaavat lähettäjän, eivät totuutta.” Yksinkertaistettuna järjestelmä tarkisti lähettäjän, ei viestin oikeellisuutta. Turvallisuusasiantuntijoille tämä ei ole uusi hakkerointitapa, vaan järjestelmän asetusten hyväksikäyttöä. “Hyökkäys ei koskenut kryptografian murtamista”, sanoi David Schwed, SVRN:n operatiivinen johtaja. “Se koski järjestelmän asetusten hyväksikäyttöä.” Yksi keskeinen ongelma oli konfiguraatio: Kelp käytti yhtä verifioijaa cross-chain-viestien hyväksyntään, koska se on nopeampaa ja yksinkertaisempaa, mutta poistaa kriittisen turvakerroksen. LayerZero on nyt suositellut useiden riippumattomien verifioijien käyttöä, samanlaista kuin useat allekirjoitukset pankkisiirrossa. Jotkut ekosysteemissä ovat kritisoineet tätä, sillä LayerZeron oletusasetus oli yksi verifioija. “Jos asetusta pidetään turvattomana, sitä ei pitäisi tarjota vaihtoehtona”, Schwed sanoi.

Vaikutukset ja leviäminen

Hyökkäyksen seuraukset eivät rajoitu Kelpiin. Monet DeFi-järjestelmät käyttävät toistensa varoja, joten ongelmat leviävät. “Nämä varat ovat IOU-ketju”, Schwed sanoi. “Ketju on yhtä vahva kuin sen heikoin lenkki.” Tässä tapauksessa lainausalustat kuten Aave, jotka hyväksyivät vaikutettuja varoja vakuudeksi, kohtaavat tappioita, muuttaen yksittäisen hyökkäyksen laajemmiksi stressitilanteiksi.

Hajauttamisen markkinointi vs. todellisuus

Hyökkäys paljastaa kuilun hajauttamisen markkinoinnin ja todellisuuden välillä. “Yksi verifioija ei ole hajautettu”, Schwed sanoi. “Se on keskitetty hajautettu verifioija.” Urbelis laajentaa: “Hajauttaminen ei ole järjestelmän ominaisuus. Se on sarja valintoja. Pino on yhtä vahva kuin sen keskitetyin kerros.” Käytännössä jopa hajautetuilta vaikuttavat järjestelmät voivat sisältää heikkouksia, erityisesti vähemmän näkyvissä kerroksissa kuten datantarjoajissa tai infrastruktuurissa. Hyökkääjät keskittyvät yhä enemmän näihin. Lazarus-ryhmä on alkanut kohdistaa cross-chain- ja restaking-infrastruktuuriin, jotka liikuttavat varoja järjestelmien välillä tai mahdollistavat niiden uudelleenkäytön. Nämä kerrokset ovat kriittisiä mutta monimutkaisia, usein piilossa näkyvämpien sovellusten alla, ja ne sisältävät suuria määriä arvoa. Aikaisemmat kryptohyökkäysaallot keskittyivät pörsseihin tai ilmeisiin koodivirheisiin, mutta viimeaikainen toiminta viittaa siirtymään alan “putkistoon”, järjestelmiin jotka yhdistävät kaiken mutta ovat vaikeampia valvoa ja helpompia konfiguroida väärin. Kun Lazarus sopeutuu, suurin riski ei ole tuntemattomissa haavoittuvuuksissa, vaan tunnetuissa, joita ei täysin korjata. Kelpin hyökkäys ei tuonut uutta heikkoutta, vaan osoitti ekosysteemin altistumisen tutuille ongelmille, erityisesti kun turvallisuutta pidetään suosituksena eikä vaatimuksena.

Pähkinänkuoressa

• Pohjois-Korean hakkerit ovat kehittäneet toimintaansa hyväksikäyttäen DeFi-järjestelmien perusasetuksia.
• Yli 500 miljoonaa dollaria varastettu Driftin ja Kelpin hyökkäyksissä kahdessa viikossa.
• Yhden verifioijan käyttö oli keskeinen heikkous Kelpin tapauksessa.
• Hyökkäykset leviävät muihin alustoihin, kuten Aaveen, aiheuttaen laajempia tappioita.
• Hajauttaminen vaatii huolellisia valintoja, ei pelkkää markkinointia.

UKK – useimmin kysytyt

Mikä oli Kelpin hyökkäyksen ydin?

Hyökkääjät manipuloivat dataa, jota järjestelmä luotti, aiheuttaen väärien transaktioiden hyväksynnän. Se ei murtautunut kryptografiaan, vaan hyväksikäytti järjestelmän asetuksia.

Miksi LayerZero suosittelee nyt useita verifioijia?

Yhden verifioijan käyttö poistaa turvakerroksen, ja useat verifioijat parantavat turvallisuutta, samanlaista kuin useat allekirjoitukset pankkisiirrossa.

Miten hyökkäys vaikuttaa muihin DeFi-alustoihin?

Vaikutetut varat ovat käytössä useilla alustoilla, kuten Aavessa, aiheuttaen tappioita ja stressiä laajemmalle ekosysteemille.

Mitä Lazarus-ryhmä kohdistaa nyt?

Ryhmä keskittyy cross-chain- ja restaking-infrastruktuuriin, jotka ovat kriittisiä mutta monimutkaisia ja sisältävät suuria arvoja.