O ataque que drenou US$ 292 milhões (R$ 1,4 bilhão) do projeto de finança descentralizada (DeFi) KelpDAO no fim de semana foi “provavelmente” obra do Grupo Lazarus da Coreia do Norte, especificamente de sua subunidade TraderTraitor, disse a LayerZero em uma análise preliminar nesta segunda-feira (20).
Os atacantes roubaram 116.500 rsETH, um token de restaking líquido lastreado por ether em staking, da ponte KelpDAO no sábado, desencadeando saques em todo o setor DeFi que retiraram mais de US$ 10 bilhões do protocolo de empréstimos Aave.
O ataque é considerado o maior do ano do meio DeFi e tinha as características de “um ator estatal altamente sofisticado, provavelmente o Grupo Lazarus da Coreia do Norte”, disse a LayerZero, especificando a subunidade TraderTraitor do grupo.
As operações cibernéticas da Coreia do Norte são conduzidas sob o Escritório Geral de Reconhecimento, que abriga várias unidades distintas, incluindo TraderTraitor, AppleJeus, APT38 e DangerousPassword, de acordo com uma análise do pesquisador Samczsun da Paradigm.
Leia também: Lazarus, grupo hacker da Coreia do Norte, acumula mais Bitcoin que Butão e El Salvador
Entre essas subunidades, TraderTraitor foi apontado como o ator da Coreia do Norte mais sofisticado a mirar criptomoedas, anteriormente ligado às violações da Axie Infinity, Ronin Bridge e WazirX.
A LayerZero disse que a KelpDAO havia usado um único verificador para aprovar transferências para dentro e fora da ponte, acrescentando que havia instado repetidamente a KelpDAO a usar múltiplos verificadores.
Daqui para frente, a LayerZero disse que deixará de aprovar mensagens para qualquer aplicativo que ainda esteja utilizando essa configuração.
Um único ponto de falha
Observadores dizem que o exploit expôs como a ponte foi construída para confiar em um único verificador.
“Era um único ponto de falha, independentemente de como o marketing o chamava”, disse Shalev Keren, cofundador da empresa de segurança criptográfica Sodot, ao Decrypt.
Um único checkpoint comprometido foi suficiente para permitir que os fundos saíssem da ponte, e nenhuma auditoria ou revisão de segurança poderia ter corrigido essa falha sem “remover a confiança unilateral da própria arquitetura”, disse Keren.
Os atacantes chegaram a três minutos de drenar outros US$ 100 milhões antes que uma lista negra rápida os cortasse, de acordo com uma análise da empresa de segurança de blockchain Cyvers. A operação baseou-se em enganar um único canal de comunicação, disse o CTO da Cyvers, Meir Dolev.
Os atacantes acessaram duas das linhas que o verificador usava para checar se uma retirada realmente havia ocorrido na Unichain, alimentaram-nas com um “sim” falso, e então desativaram as linhas restantes para forçar o verificador a depender das comprometidas.
“O cofre estava bem. O guarda era honesto. O mecanismo da porta funcionava corretamente”, disse Dolev. “A mentira foi sussurrada diretamente à única parte cuja palavra abria a porta.”
Mas, enquanto a LayerZero, cuja infraestrutura alimentava a ponte drenada, apontou Lazarus como o provável culpado, a Cyvers não fez a mesma atribuição em sua própria análise.
Alguns padrões correspondem a operações ligadas à Coreia do Norte em sofisticação, escala e execução coordenada, disse Dolev, mas nenhum agrupamento de carteiras ligadas ao grupo foi confirmado.
O software de nó malicioso foi projetado para se autoapagar assim que o ataque terminasse, limpando binários e registros para obscurecer o rastro dos atacantes em tempo real e na análise póstuma, acrescentou.
No início deste mês, atacantes drenaram aproximadamente US$ 285 milhões do protocolo de perpétuos Drift, baseado na Solana, em um exploit mais tarde atribuído a agentes norte-coreanos.
Dolev observou que o hack do Drift foi “muito diferente em termos de preparação e execução”, mas ambos os ataques exigiram longos prazos, profunda experiência e recursos significativos para serem realizados.
A Cyvers suspeita que os fundos roubados foram transferidos para este endereço de Ethereum, alinhando-se com um relatório separado do investigador on-chain ZachXBT que o sinalizou junto com outros quatro. Os endereços de ataque foram financiados através do misturador de criptomoedas Tornado Cash, segundo ZachXBT.
* Traduzido e editado com autorização do Decrypt.
Liquidez sem vender as suas criptos: se você investe pensando no longo prazo, sabe que desmontar posição tem custo. Com o CriptoCrédito do MB, suas criptos viram garantia para um empréstimo liberado de forma rápida. Dinheiro em até 5 minutos, sem burocracia, direto no app! Conheça agora!
