- Lazarus GroupがLayerZeroの統合を悪用してKelp DAOから2億9000万ドルを盗む
- 攻撃者がクロスチェーントランザクション検証サーバを侵害し、偽のトランザクションを承認するために虚偽のデータを供給
- LayerZeroとKelp DAOが責任をめぐって対立
悪名高い北朝鮮政府支援のハッキンググループであるLazarusが再びやってのけた。LayerZeroというソリューションを通じてKelp DAOと呼ばれる分散型自律組織を悪用した後、2億9000万ドルの暗号資産を見事に持ち去った。
Kelp DAOは中央管理やCEOを持たない組織である。すべての決定はガバナンストークンを保有し、提案に投票するメンバーによって集合的に行われる。これはユーザーがアイドル状態の暗号資産投資から利益を得られるように設計された。
一方、LayerZero Labsは異なるブロックチェーン間で通信することを可能にするインフラを構築している。異なる通貨は分離されたネットワーク上で動作するため、これはWeb3エコシステムの重要な部分である。DAOはLayerZeroを異なるブロックチェーン間の「メッセージングレイヤー」として使用していた。
記事は以下に続きます
責任転嫁
Lazarus Groupは見かけ上、ブロックチェーン間のトランザクション検証に使用されるいくつかのサーバを制御することでシステムを欺いた。その後、虚偽のデータをシステムに供給し、侵害されたサーバを信頼するよう強制することで、偽のトランザクションを本物に見せかけ、資金を盗むことができた。
事件の後、LayerZeroはXに投稿して何が起こったのかを説明した。詳細な報告書はこちらで読むことができるが、基本的に攻撃者がKelp DAOのセットアップを悪用したと述べている。
「LayerZeroプロトコルのアクティブな統合について包括的なレビューを実施しました。他のアセットやアプリケーションへの伝染がまったくないことを自信を持って確認できます」LayerZeroは述べた。「この事件はKelpDAOのシングルDVNセットアップの直接的な結果として、KelpDAOのrsETH構成に完全に限定されていました。」
一方、Kelp DAOは、事件がその構成のみの結果であるという特性評価に異議を唱えた。
2つの組織が責任をなすりつけている一方で、Lazarusは別の成功した襲撃を祝う。この組織は長年にわたって、脆弱なWeb3プロジェクト、ブリッジ、およびDAOを悪用して資金を盗み、北朝鮮の国家装置と兵器プログラムに資金を提供してきた。
