Hack do Kelp DAO Atribuído ao Grupo Lazarus; Domínio da eth.limo Sequestrado via Engenharia Social

Mensagem do Gate News, 20 de abril — A LayerZero divulgou descobertas preliminares sobre o exploit do Kelp DAO que ocorreu em 18 de abril, atribuindo o ataque a um ator de ameaça altamente sofisticado apoiado pelo Estado, provavelmente o subgrupo do Grupo Lazarus da Coreia do Norte conhecido como TraderTraitor. O incidente resultou na perda de 116.500 tokens rsETH avaliados em aproximadamente $292 milhões, marcando o maior exploit de DeFi deste ano.

De acordo com a investigação da LayerZero, os atacantes obtiveram acesso à lista de nós RPC usada pela rede de verificador descentralizado (DVN) da LayerZero Labs, um sistema de entidades independentes responsáveis por validar mensagens entre cadeias. Dois nós foram envenenados para transmitir uma mensagem fraudulenta, enquanto os atacantes, simultaneamente, lançaram um ataque distribuído de negação de serviço contra nós não comprometidos. A mensagem falsificada foi aceita porque o Kelp DAO configurou sua ponte usando uma configuração única 1-of-1 de DVN, sem um verificador secundário para detectar ou rejeitar a transação fraudulenta. A LayerZero já havia aconselhado o Kelp DAO a diversificar sua configuração de DVN. Em resposta, a LayerZero anunciou que não vai mais assinar mensagens para aplicações que usem configurações 1/1 de DVN e que está cooperando com as autoridades para rastrear os fundos roubados.

Separadamente, o gateway do Ethereum Name Service eth.limo divulgou que o sequestro de domínio de sexta-feira, 18 de abril, foi causado por um ataque de engenharia social que mirava seu provedor de serviços, easyDNS. Um atacante se personificou como um membro da equipe da eth.limo e iniciou um processo de recuperação de conta, obtendo acesso à conta da eth.limo e modificando as configurações de DNS para redirecionar o tráfego para uma infraestrutura controlada pela Cloudflare. A plataforma atende aproximadamente dois milhões de sites descentralizados usando o sistema de domínios .eth. No entanto, a Extensão de Segurança do Sistema de Nomes de Domínio (DNSSEC) limitou os danos ao adicionar verificação criptográfica aos registros de DNS; como o atacante não tinha as chaves de assinatura necessárias, muitos resolvedores de DNS rejeitaram os registros manipulados, impedindo redirecionamentos maliciosos. O CEO da EasyDNS, Mark Jeftovic, reconheceu a violação como o primeiro ataque de engenharia social bem-sucedido contra um cliente da easyDNS na história de 28 anos da empresa e afirmou que a companhia está implementando melhorias de segurança para evitar incidentes semelhantes.