Lazarus Group (Bắc Triều Tiên) bị buộc tội đứng sau vụ đánh cắp 290 triệu USD từ Kelp DAO

Nhóm hacker Lazarus có liên kết với Bắc Triều Tiên vừa bị cáo buộc là chủ mưu đứng sau vụ đánh cắp tiền điện tử trị giá 290 triệu USD từ giao thức tài chính phi tập trung (DeFi) Kelp DAO.

Vụ tấn công xảy ra vào chiều Chủ Nhật vừa qua (theo giờ UTC), khi kẻ tấn công đã gửi một chỉ thị độc hại để rút sạch 116.500 rsETH (restaked ether - ether được staking lại), với tổng trị giá khoảng 292 triệu USD. Ngay sau sự cố, Kelp DAO đã tạm dừng các hợp đồng liên quan và đưa ví của hacker vào danh sách đen, giúp chặn đứng một cuộc tấn công thứ nhắm vào thêm 40.000 rsETH khác (tương đương 95 triệu USD).

Hacker Bắc Triều Tiên

Kỹ thuật tấn công tinh vi

Kelp DAO là một giao thức restaking thanh khoản, định tuyến ETH do người dùng gửi qua giao thức EigenLayer để kiếm thêm phần thưởng và phát hành rsETH. Giao thức này sử dụng cấu hình "xác minh 1-trên-1" để xác thực các chỉ thị, và kẻ tấn công đã nhắm vào điểm yếu này để đầu độc quá trình xác nhận.

Để thực hiện điều này, chúng đã nhắm vào LayerZero, cơ sở hạ tầng nhắn tin đa chuỗi cho phép các blockchain gửi các chỉ thị đã được xác minh. Mạng lưới xác minh phi tập trung (DVN) của LayerZero dựa vào nhiều cuộc gọi thủ tục từ xa (RPC) để kiểm tra tính toàn vẹn của các chỉ thị đa chuỗi. Hacker đã quản lý xâm nhập và đầu độc hai trong số các RPC này.

"Chúng đã sử dụng điểm chuyển đổi này để thực hiện cuộc tấn công giả mạo RPC. Nút độc hại của chúng đã sử dụng tải tùy chỉnh được thiết kế rõ ràng để giả mạo tin nhắn tới DVN với ít cảnh báo nhất," LayerZero cho biết.

Sau đó, kẻ tấn công đã phát động một cuộc tấn công từ chối dịch vụ phân tán (DDoS) nhằm vào các RPC còn lại, kích hoạt cơ chế chuyển đổi dự phòng (failover) sang các nút đã bị đầu độc. Điều này cho phép các chỉ thị độc hại của hacker đi qua như là hợp lệ.

Trách nhiệm và tranh cãi

LayerZero nhận định rằng vụ trộm cắp này là kết quả của một cuộc tấn công cực kỳ tinh vi, có khả năng do TraderTraitor thực hiện. Đây là một nhóm con trong nhóm APT Lazarus nổi tiếng của Bắc Triều Tiên, từng bị buộc tội cho nhiều vụ trộm tiền điện tử trong vài năm qua.

Theo LayerZero, vụ việc này có thể đã được ngăn chặn nếu Kelp DAO triển khai thiết lập đa DVN, đây là phương pháp tốt nhất trong ngành.

"Điều này có nghĩa là không có DVN đơn lẻ nào nên đại diện cho điểm tin cậy hoặc thất bại đơn phương," LayerZero tuyên bố, lưu ý rằng họ đã từng khuyến nghị Kelp DAO chuyển đổi từ cấu hình DVN đơn.

Tuy nhiên, Kelp DAO lại đổ lỗi cho LayerZero về sự cố này. Họ khẳng định hệ thống của mình không vận hành cơ sở hạ tầng bị nhắm mục tiêu và chỉ ra rằng thiết lập DVN đơn là cấu hình được tài liệu hóa bởi LayerZero.

"Kelp đã vận hành trên cơ sở hạ tầng LayerZero kể từ tháng 1 năm 2024 và duy trì kênh giao tiếp cởi mở với đội ngũ LayerZero. Vấn đề cấu hình DVN đã được nêu ra trong quá trình mở rộng L2 của Kelp, và các thiết lập mặc định đã được xác nhận là phù hợp tại thời điểm đó," Kelp DAO lưu ý.

Hậu quả lan rộng

Hiện tại, Kelp DAO đang ưu tiên ngăn chặn sự lây lan trong hệ sinh thái DeFi. Một số đối tác, như Hội đồng An ninh Arbitrum, đã ngay lập tức đóng băng tài sản tại các địa chỉ liên quan đến vụ trộm.

Mặc dù vậy, tác động của sự cố dường như rất rộng lớn. Trong hệ lụy, giao thức thanh khoản phi tập trung phi lưu ký Aave đã ghi nhận mức giảm tổng giá trị gần 8 tỷ USD.

Theo Binance, những kẻ tấn công đã gửi tiền bị đánh cắp vào Aave v3 làm tài sản thế chấp và vay wrapped Ether, qua đó tạo ra khoản nợ 195 triệu USD trên Aave. Khi người dùng vội vã rút tài sản, các pool cho vay Aave v3 đã đạt mức sử dụng tối đa, chặn hơn 5,1 tỷ USD stablecoin.