LayerZero Labsのインシデント報告によると、4月18日、rsETHクロスチェーンブリッジが攻撃を受け、116,500 rsETH(約2億9200万ドル)が盗まれました。Mandiant、CrowdStrike、そして独立した研究者は、この攻撃を北朝鮮に関連するとされるハッカー集団TraderTraitor(UNC4899)によるものだと結論づけました。
攻撃は3月6日にソーシャルエンジニアリングでLayerZeroの開発者アカウントを狙うところから始まりました。攻撃者はセッションキーを入手し、RPCクラウド環境に侵入し、不正なクロスチェーン証明を生成するために内部RPCノードのデータを汚染しました。次に、外部RPCプロバイダーに対してサービス妨害(DoS)攻撃を仕掛け、検証システムが侵害されたノードに依存せざるを得ない状況に追い込みました。中核となる脆弱性は、対象アプリケーションがシングル検証者(single-verifier)構成を使用していたため、1つの有効な署名を受け取るだけで資産の払い出しが可能になっていた点です。
LayerZero Labsは、DVNがシングル検証者セットアップで唯一の署名者として機能することを禁止すること、影響を受けたクラウド基盤を再構築すること、短期間で失効する認証情報、即時の権限昇格、複数承認の仕組みを導入することで、セキュリティ戦略を調整すると述べました。zeroShadowと法執行機関は、調査と資産の追跡を開始しています。
