В компании рассказали, что злоумышленники взломали часть технической инфраструктуры LayerZero, которая помогает разным блокчейнам обмениваться данными. Другие протоколы моста не были затронуты. Атака стала возможна, поскольку у проекта KelpDAO была недостаточно надежная настройка безопасности, утверждают разработчики. Обычно для защиты таких систем используют несколько независимых «проверяющих» узлов: если один сломается или будет взломан, другие продолжат работу и предотвратят атаку. KelpDAO же использовал только один «проверяющий» узел — от LayerZero.
Как показало предварительное расследование, хакеры действовали поэтапно. Сначала неизвестные получили доступ к списку технических серверов (RPC‑узлов), которые использует система LayerZero. Затем взломали два независимых сервера, работающих на разных площадках, и заменили их программное обеспечение на вредоносное.
С помощью этих серверов злоумышленники отправили системе поддельное сообщение — будто бы кто‑то перевел криптовалюту, хотя на самом деле транзакции не было. Для всех остальных запросов эти серверы отвечали правильно, чтобы не вызвать подозрений. Чтобы система точно использовала взломанные серверы, хакеры организовали DDoS‑атаку, завалив остальные массовыми ложными запросами. Из‑за перегрузки система переключилась на взломанные узлы.
После завершения атаки хакеры стерли все следы: удалили вредоносное ПО, логи и настройки. Сейчас система LayerZero полностью восстановлена и работает в штатном режиме, заверяют разработчики. Они утверждают, что уязвимости в протоколе не было.
Атака на Kelp произошла в субботу, 18 апреля. Хакеры украли 116 500 токенов Kelp DAO Restaked ETH (rsETH) из моста LayerZero, используемого Kelp DAO. Затем злоумышленники разместили права на эти токены в качестве залога в Aave V3 и взяли займы в wETH. Платформа восприняла залог как реальные токены на Kelp DAO, но на самом деле монеты уже были в кошельках злоумышленников. Из-за этого у площадки образовался необеспеченный долг, а инвесторы массово начали выводить из нее средства.
