摘要:跨链协议LayerZero披露KelpDAO桥遭攻击事件,怀疑为朝鲜Lazarus集团下属的TraderTraitor小组所为。攻击者利用单一验证器漏洞在三分钟内盗取116,500枚rsETH,引发去中心化金融系统连锁反应。业内警示单点信任机制的致命缺陷。
币圈界报道:
朝鲜黑客组织涉嫌主导大规模跨链资金劫持事件
跨链互操作协议LayerZero发布初步评估报告,指出上周末从KelpDAO跨链桥被窃取约2.92亿美元资金的行动极有可能由朝鲜黑客组织Lazarus执行,其下属分支TraderTraitor被列为具体实施单位。
攻击路径与系统级冲击波
攻击发生于周六,攻击者从KelpDAO桥提取了116,500枚rsETH,即一种基于质押以太坊的流动性再质押代币,此举迅速触发去中心化金融生态的连锁性提款潮,导致Aave等借贷平台出现超100亿美元资金外流。LayerZero强调,此次行为展现高度复杂的国家级网络攻击特征,明确指向朝鲜的Lazarus集团,并特别提及旗下名为TraderTraitor的作战单元。据Paradigm研究员Samczsun分析,朝鲜网络行动由侦察总局统一调度,下辖包括TraderTraitor、AppleJeus、APT38及DangerousPassword在内的多个专业化技术团队。
其中,TraderTraitor被普遍视为朝鲜在加密领域最具实战能力的攻击力量,此前曾参与对Axie Infinity Ronin桥及WazirX交易所的安全入侵。
架构设计缺陷暴露关键风险
LayerZero披露,KelpDAO在部署跨链桥时仅启用单一验证器审批资金转移请求,且此前已多次建议项目方升级至多验证器机制。该协议声明,未来将不再向采用此类低冗余配置的应用提供消息验证服务。业内人士指出,此事件暴露出当前跨链桥普遍存在的过度依赖单个验证节点的根本性弱点。
密码学安全公司Sodot联合创始人Shalev Keren评论称:“无论宣传多么完善,这本质上仍是单点故障。”他进一步解释,一旦某个验证节点被攻陷,即可伪造确认信号,使整个系统信任链崩溃,任何外部审计均无法弥补这一结构性缺陷,唯有“从根本上废除单向信任模型”才能解决。
Grvt区块链负责人Haoze Qiu同样表示,KelpDAO采纳了严重缺乏安全冗余的跨链架构,对于承载如此规模资产而言堪称高危。同时,他也提出质疑:尽管攻击未直接源于LayerZero核心协议,但涉及其验证器堆栈的基础设施问题,表明该平台亦需承担相应责任。
攻击技术细节深度剖析
区块链安全机构Cyvers分析指出,攻击者在三分钟内试图再度提取1亿美元,但因快速响应的黑名单机制而受阻。该公司首席技术官Meir Dolev透露,攻击核心在于操控单一通信信道:攻击者渗透了用于检测Unichain链上提款状态的两条通信线路,向其注入虚假“已确认”信号,同时使其他线路离线,迫使验证器只能依赖已被污染的通道。
Dolev以比喻说明:“金库本身坚固,守卫忠诚,锁具完好无损。问题出在有人直接向掌管钥匙的人低声传递谎言。”尽管LayerZero将责任归于Lazarus组织,但Cyvers在其报告中并未做出相同归因。
Dolev指出,此次攻击在复杂度、资源投入与协同执行方面与朝鲜相关行动高度相似,但尚未发现与已知黑产钱包集群的直接关联。他补充称,恶意节点软件在攻击结束后立即启动自毁程序,清除二进制文件与日志,实现攻击痕迹的即时与事后双重抹除。
背景脉络与资金流转追踪
本月初,基于Solana的永续合约协议Drift也遭遇约2.85亿美元的攻击,后续调查同样指向朝鲜黑客势力。Dolev表示,两次攻击在筹备阶段和执行方式上存在显著差异,但共通之处在于均需长期布局、专业技术支持以及大量资源投入。
Cyvers推测,被盗资金可能已转入某以太坊地址,该判断与链上分析师ZachXBT的独立追踪结果一致——后者共识别出五个可疑地址。根据其调查,攻击资金来源均通过Tornado Cash等混币工具进行多层流转,以掩盖真实路径。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。