週末に発生した約3億ドル相当の暗号資産の盗難は北朝鮮のハッカーに帰属していると考えられており、業界は複数の有名なプラットフォームを巻き込んだ広範な事件の影響に取り組んでいます。
攻撃は土曜日の午後、ブロックチェーン・セキュリティ企業がKelpという暗号資産プラットフォームから2億9,000万ドルが流出したと報告したときに始まりました。同社は事件を確認し、調査が行われている間、活動を中止しました。
サイバー捜査官は、この事件をLayerZeroまで遡りました。LayerZeroは、分散型アプリケーションが通信し、資産を相互に転送できる人気のあるメッセージングツールを開発した暗号資産インフラ企業です。
月曜日の早朝、LayerZeroは詳細な事後検証を発表し、初期の指標が、この複雑な攻撃が北朝鮮のTraderTraitor(平壌の「Lazarus」作戦内の有名なハッカーグループ)によって行われたことを示唆していることを説明しました。
LayerZeroは、攻撃はKelpに限定されており、事件はKelpの設定方法に原因があると述べました。
LayerZeroは、ブロックチェーン全体で送信されたメッセージを検証する独立した実体である、分散型検証者ネットワーク(DVNs)を運営しています。同社は、KelpのようなレイヤーZeroのDVNをメッセージ検証の唯一の実体に依存しないよう、繰り返し警告していると主張しました。
「業界のベストプラクティス、およびLayerZeroのすべてのインテグレータへの明確な推奨は、多様性と冗長性を持つ複数DVNセットアップを構成することです」と同社は述べました。「これは、単一のDVNが信頼の一方的なポイントまたは障害のポイントを表現すべきではないことを意味します。」
LayerZeroはrsETHという申し込みの唯一の検証者でした。rsETHは、人々がEtherコインを預けてそこから利回りを得ることができるような特定の種類のトークンです。
複雑な一連の取引で、北朝鮮のTraderTraitorはLayerZeroに侵入し、実際のEtherを担保として提供せずに大量のrsETHを作成し、事実上無から資金を生み出しました。
ハッカーはその後、架空のrsETHを取得し、それを他のプラットフォーム上の担保として使用して、実際のEtherコインと他のドル建てのステーブルコインを借りました。
事後検証では、LayerZeroはKelpの設定について繰り返し非難し、それが「LayerZeroがすべての統合パートナーに一貫して推奨してきた複数DVN冗長性モデルに直接矛盾する」と主張しました。
「単一障害点構成を運用することは、偽造メッセージをキャッチして拒否する独立した検証者がなかったことを意味していました」と同社は述べました。
LayerZeroは、攻撃者がトランザクションを検証するために同社が依存しているシステムを危険にさらすことで、下流のインフラストラクチャを「操作または毒性化」することができたと説明しました。同社によると、攻撃者の高度な戦術は、セキュリティ監視ツールが異常に気づくことを防いだとのことです。
盗難を完了するために、ハッカーは盗難を停止できた可能性があるバックアップシステムに対する分散型サービス拒否(DDoS)攻撃も開始しました。攻撃を実行するために使用されたツールは、ハッカーが終了した後に自動的に破壊されるように構築されていました。
事後検証は、北朝鮮人がLayerZeroデバイスをどのように正確に侵害したかについては詳しく説明していません。昨年北朝鮮によって攻撃された複数の暗号資産企業は、侵害の原因としてマルウェアに感染したラップトップを報告しています。
暗号資産ニュースアウトレットのCoinDeskに話したKelpの情報筋は、LayerZeroの評価に異議を唱え、同社自体の事後検証でさえ、事件がKelpのサーバではなく同社のサーバの危険を伴ったことを認めていると指摘しました。彼らはまた、LayerZeroの顧客の約40%が単一DVNセットアップを使用しており、同社はこれについて彼らと問題を提起したことがなかったと述べました。
LayerZeroは、単一のDVNとして使用する全当事者に連絡する過程にあり、単一の検証者のみを持つアプリケーションからのメッセージはもはや承認しないと述べました。
事後検証では、LayerZeroが述べたように、法執行機関が事件への対応に関与しています。同社は、自社システムが「このイベント全体を通して意図したとおりに機能した」と主張しました。
ハッカーが架空のrsETHを使用してローンを借りるために使用したプラットフォームの1つであるAaveは、事件を認めましたと述べ、「潜在的な解決策を評価している」と述べました。その何千人ものユーザーはプラットフォームから資金を引き出そうとしていますが、場合によっては無駄です。
KelpもLayerZeroもAaveもコメント要請に応じませんでした。
確認されれば、2億9,000万ドルの盗難は、北朝鮮からのハッカーによって開始されたさらに別のブロックバスター暗号資産強盗となるでしょう。3週間前、北朝鮮の疑いのあるグループは、Drift暗号資産プラットフォームから2億9,000万ドルを盗みました。これは偽造企業、疑いのある人物などを含む別の高度な操作でした。
北朝鮮は5年以上前から暗号資産業界に前例のない攻撃を仕掛けており、米国当局が平壌の軍事兵器プログラムに資金を供給するために使用されていると述べている毎年莫大な金額を盗んでいます。
同国の政府は昨年の同様の攻撃で20億ドル以上を盗み、国連調査官によると、2017年から2023年の間の攻撃から30億ドルをもたらしました。
翻訳元: https://therecord.media/crypto-north-korea-theft-kelp
