План действий Северной Кореи по краже криптовалюты расширяется, и DeFi-проекты продолжают подвергаться атакам.

Менее чем через три недели после того, как хакеры, связанные с Северной Кореей, использовали социальную инженерию для атаки на криптовалютную торговую компанию Drift, хакеры, приписываемые этой стране, похоже, осуществили еще одну крупную атаку на Kelp.

Атака на Kelp, протокол рестейкинга, интегрированный в кросс-чейн инфраструктуру LayerZero, указывает на эволюцию в методах работы хакеров, связанных с Северной Кореей, которые не просто ищут уязвимости или украденные учетные данные, но и эксплуатируют базовые предположения, заложенные в децентрализованные системы.

Вместе эти два инцидента указывают на что-то более организованное, чем просто серия разовых атак, поскольку Северная Корея продолжает наращивать свои усилия по перехвату средств из криптовалютного сектора.

«Это не серия инцидентов; это закономерность», - сказал Александр Урбелис, главный специалист по информационной безопасности и генеральный юрист компании ENS Labs. «Вы не сможете устранить проблему только путем исправления ошибок».

Более 500 миллионов долларов были похищены в результате атак на Drift и Kelp всего за две недели.

Как была взломана Kelp

В основе атаки на Kelp не было взлома шифрования или подбора ключей. Система фактически работала так, как и была задумана. Скорее, злоумышленники манипулировали данными, поступающими в систему, и заставили ее полагаться на эти скомпрометированные данные, что привело к одобрению транзакций, которые на самом деле не происходили.

«Ошибка безопасности проста: подписанная ложь все равно остается ложью», - сказал Урбелис. «Подписи гарантируют авторство; они не гарантируют правдивость».

Проще говоря, система проверяла, кто отправил сообщение, а не соответствовало ли само сообщение действительности. Для специалистов по безопасности это означает, что речь идет не о новом хитром взломе, а об эксплуатации того, как была настроена система.

«Эта атака не была направлена на взлом криптографии», - сказал Дэвид Швед, операционный директор компании SVRN, занимающейся безопасностью блокчейна. «Речь шла об эксплуатации того, как была настроена система».

Одной из ключевых проблем был выбор конфигурации. Kelp полагалась на одного верификатора, то есть на одного проверяющего, для одобрения межсетевых сообщений. Это связано с тем, что это быстрее и проще в настройке, но это устраняет важный уровень безопасности.

После инцидента LayerZero рекомендовала использовать несколько независимых верификаторов для одобрения транзакций, что аналогично требованию нескольких подписей для банковского перевода. Некоторые участники экосистемы выступили против такого подхода, заявив, что настройка LayerZero по умолчанию предусматривала наличие одного верификатора.

«Если вы определили конфигурацию как небезопасную, не предлагайте ее в качестве опции», - сказал Швед. «Безопасность, которая зависит от того, что все прочитают документацию и все сделают правильно, не является реалистичной».

Последствия не ограничились только Kelp. Как и многие DeFi-системы, ее активы используются на нескольких платформах, что означает, что проблемы могут распространяться.

«Эти активы - это цепочка долговых расписок», - сказал Швед. «И прочность этой цепочки зависит от контроля над каждым звеном».

Когда одна ссылка ломается, другие тоже страдают. В данном случае, кредитные платформы, такие как Aave, которые принимали за залог активы, подвергшиеся атаке, теперь сталкиваются с убытками, превращая единую эксплуатацию в более масштабное стрессовое событие.

Маркетинг децентрализации

Атака также выявила разрыв между тем, как продвигается концепция децентрализации, и тем, как она на самом деле работает.

«Один проверяющий не является децентрализованным», — сказал Швед. «Это централизованный децентрализованный проверяющий».

Урбелис выразил эту мысль более широко.

«Децентрализация — это не свойство системы. Это серия выборов», — сказал он. «И система настолько надежна, насколько надежен ее самый централизованный слой».

На практике это означает, что даже системы, которые кажутся децентрализованными, могут иметь слабые места, особенно в менее заметных слоях, таких как поставщики данных или инфраструктура. Именно на них все чаще нацеливаются злоумышленники.

Эта тенденция может объяснить недавнюю активность группы Lazarus.

По словам Урбелиса, группа начала сосредотачиваться на кросс-чейн и рестейкинговой инфраструктуре, то есть на тех частях криптовалюты, которые перемещают активы между системами или позволяют их повторно использовать.

Эти слои критически важны, но сложны, часто находящиеся под более заметными приложениями. Они также, как правило, содержат большие объемы ценностей, что делает их привлекательными целями.

Если предыдущие волны хакерских атак в криптовалюте были направлены на биржи или очевидные ошибки в коде, то недавняя активность указывает на переход к тому, что можно назвать "внутренностями" отрасли, то есть к системам, которые соединяют все вместе, но которые труднее отслеживать и легче неправильно настроить.

По мере того, как Lazarus продолжает адаптироваться, наибольший риск может заключаться не в неизвестных уязвимостях, а в известных, которые не были полностью устранены.

Эксплойт Kelp не ввел новый вид уязвимости. Он показал, насколько уязвима экосистема для уже известных проблем, особенно когда безопасность рассматривается как рекомендация, а не как требование.

И по мере того, как злоумышленники действуют быстрее, этот разрыв становится как более легким для эксплуатации, так и гораздо более дорогим для игнорирования.

Читайте далее: Севернокорейские хакеры проводят масштабные государственно-спонсируемые операции, чтобы поддерживать экономику и ядерную программу.