По данным LayerZero, злоумышленники получили доступ к двум RPC-узлам, используемым верификатором для подтверждения межсетевых транзакций. После компрометации инфраструктуры они модифицировали программное обеспечение узлов, чтобы подделывать данные о транзакциях, при этом сохраняя видимость корректной работы системы мониторинга.
Дополнительно, по версии компании, была проведена DDoS-атака на другие RPC-узлы, что заставило систему переключиться на скомпрометированные серверы. В результате верификатор LayerZero одобрил мошенническую транзакцию, в рамках которой было выведено около 116,5 тыс. rsETH.
LayerZero утверждает, что атака стала возможной из-за того, что Kelp DAO использовала конфигурацию «один к одному» (single verifier), несмотря на рекомендации применять многоверификаторную модель для повышения безопасности. В компании отмечают, что при такой архитектуре компрометация одного узла позволила провести атаку.
Также сообщается, что LayerZero ранее предупреждала о необходимости использования распределенной системы верификации, однако эти рекомендации, по ее словам, не были выполнены.
Компания заявила, что не зафиксировала распространения атаки на другие проекты, использующие протокол, и что приложения с многоверификаторной защитой остались не затронуты. В дальнейшем LayerZero планирует отказаться от поддержки проектов, работающих по модели одного верификатора.
По предварительной оценке, за атакой может стоять хакерская группа Lazarus, которую связывают с Северной Кореей. В LayerZero также отмечают, что тот же киберсубъект ранее был причастен к другим крупным взломам DeFi-проектов в апреле, суммарно приведшим к потерям сотен миллионов долларов.
Компания Kelp DAO пока не представила публичного ответа на обвинения и не прокомментировала выбор архитектуры безопасности.
