LayerZero ha publicado su informe exhaustivo sobre el ataque a gran escala al puente rsETH de KelpDAO que tuvo lugar en abril.
Según el informe, en el ataque perpetrado el 18 de abril se robaron aproximadamente 116.500 rsETH. El valor total de los activos robados se estima en unos 292 millones de dólares. Varias empresas de seguridad creen que el grupo de hackers TraderTraitor (UNC4899), vinculado a Corea del Norte, fue el responsable del ataque.
Según el comunicado de la compañía, el ataque no se dirigió directamente al protocolo LayerZero ni a otras aplicaciones de código abierto (OApps). Solo afectó al puente rsETH, que cuenta con una configuración de validador único para KelpDAO. LayerZero afirmó que el incidente tuvo su origen en una operación avanzada de ingeniería social llevada a cabo a nivel de infraestructura.
Según el informe, los atacantes obtuvieron claves de sesión pertenecientes a desarrolladores de LayerZero Labs mediante técnicas de ingeniería social a partir del 6 de marzo. Posteriormente, se infiltraron en el entorno de nube RPC de la empresa y manipularon nodos RPC internos, implementando parches de memoria en los sistemas. Estos nodos continuaron enviando datos normales a las herramientas de monitoreo, pero proporcionaron información alterada sobre el estado de la cadena de bloques al sistema DVN (Red de Validación Descentralizada) de LayerZero.
También se afirmó que los atacantes lanzaron ataques de denegación de servicio (DoS) contra proveedores RPC externos, lo que provocó que el sistema DVN dependiera exclusivamente de los nodos internos comprometidos. Este proceso generó pruebas válidas de mensajes falsificados entre cadenas y, debido a la configuración de validador único de KelpDAO, el contrato rsETH aceptó estas pruebas y liberó los activos.
Tras el incidente, LayerZero Labs anunció cambios significativos en su arquitectura de seguridad. La compañía declaró que ha establecido configuraciones de seguridad mínimas obligatorias para los canales que utilizan DVN y que ya no proporcionará firmas como único validador. Además, se señaló que la infraestructura afectada se ha reconstruido por completo basándose en una arquitectura de confianza cero y se han implementado mecanismos de escalada de privilegios instantánea.
LayerZero añadió que siguen reforzando sus configuraciones de seguridad junto con sus socios del ecosistema y que están colaborando con las fuerzas del orden y las empresas de seguridad para investigar el ataque, identificar al autor y rastrear los movimientos de fondos.
*Esto no constituye asesoramiento de inversión.