Niecałe trzy tygodnie po tym, jak hakerzy powiązani z Koreą Północną wykorzystali socjotechnikę do ataku na firmę handlującą kryptowalutami Drift, hakerzy związani z tym krajem najwyraźniej przeprowadzili kolejny poważny atak na Kelp.
Atak na Kelp, protokół restakingu powiązany z infrastrukturą cross-chain LayerZero, sugeruje ewolucję w sposobie działania hakerów związanych z Koreą Północną, którzy nie tylko szukają błędów czy skradzionych danych uwierzytelniających, ale wykorzystują podstawowe założenia wbudowane w systemy zdecentralizowane.
Razem wzięte, te dwa incydenty wskazują na coś bardziej zorganizowanego niż seria pojedynczych ataków, ponieważ Korea Północna nadal eskaluje swoje wysiłki w celu przejęcia funduszy z sektora kryptowalut.
"To nie jest seria incydentów; to jest rytm," powiedział Alexander Urbelis, dyrektor ds. bezpieczeństwa informacji i radca prawny w ENS Labs. "Nie można załatać harmonogramu zamówień."
Ponad 500 milionów dolarów zostało wyprowadzonych w ramach ataków na Drift i Kelp w ciągu nieco ponad dwóch tygodni.
Jak doszło do włamania na Kelp
W swej istocie exploit Kelp nie polegał na łamaniu szyfrowania ani crackowaniu kluczy. System faktycznie działał tak, jak został zaprojektowany. Zamiast tego atakujący manipulowali danymi wprowadzanymi do systemu i zmusili go do polegania na tych skompromitowanych danych wejściowych, powodując zatwierdzenie transakcji, które faktycznie nigdy nie miały miejsca.
"Błąd bezpieczeństwa jest prosty: podpisane kłamstwo wciąż jest kłamstwem," powiedział Urbelis. "Podpisy gwarantują autorstwo; nie gwarantują prawdy."
Mówiąc prościej, system sprawdzał, kto wysłał wiadomość, a nie czy sama wiadomość była poprawna. Dla ekspertów ds. bezpieczeństwa oznacza to, że chodzi tu mniej o sprytny nowy hack, a bardziej o wykorzystanie sposobu skonfigurowania systemu.
"Ten atak nie dotyczył łamania kryptografii," powiedział David Schwed, COO firmy zajmującej się bezpieczeństwem blockchain SVRN. "Chodziło o wykorzystanie sposobu skonfigurowania systemu."
Jednym z kluczowych problemów był wybór konfiguracji. Kelp polegał na pojedynczym weryfikatorze, zasadniczo jednym sprawdzającym, do zatwierdzania wiadomości cross-chain. Dzieje się tak, ponieważ jest szybsze i prostsze do skonfigurowania, ale usuwa krytyczną warstwę bezpieczeństwa.
LayerZero od tego czasu zaleciło stosowanie wielu niezależnych weryfikatorów do zatwierdzania transakcji po incydencie, podobnie jak wymaganie wielu podpisów przy przelewie bankowym. Niektórzy w ekosystemie sprzeciwili się temu ujęciu, twierdząc, że domyślna konfiguracja LayerZero przewidywała pojedynczy weryfikator.
"Jeśli zidentyfikowałeś konfigurację jako niebezpieczną, nie wysyłaj jej jako opcji," powiedział Schwed. "Bezpieczeństwo, które zależy od tego, czy wszyscy przeczytają dokumentację i zrobią to prawidłowo, nie jest realistyczne."
Skutki nie ograniczyły się tylko do Kelp. Podobnie jak wiele systemów DeFi, jego aktywa są wykorzystywane na wielu platformach, co oznacza, że problemy mogą się rozprzestrzeniać.
"Te aktywa to łańcuch weksli," powiedział Schwed. "A łańcuch jest tylko tak mocny, jak kontrole na każdym ogniwie."
Gdy jedno ogniwo pęka, dotyka to innych. W tym przypadku platformy pożyczkowe takie jak Aave, które przyjmowały dotknięte aktywa jako zabezpieczenie, teraz borykają się ze stratami, przekształcając pojedynczy exploit w szersze wydarzenie stresujące.
Marketing decentralizacji
Atak ujawnia również lukę między tym, jak decentralizacja jest prezentowana marketingowo, a tym, jak faktycznie działa.
"Pojedynczy weryfikator nie jest zdecentralizowany," powiedział Schwed. "To scentralizowany zdecentralizowany weryfikator."
Urbelis ujmuje to szerzej.
"Decentralizacja nie jest właściwością, którą ma system. To seria wyborów," powiedział. "A stos jest tylko tak mocny, jak jego najbardziej scentralizowana warstwa."
W praktyce oznacza to, że nawet systemy, które wydają się zdecentralizowane, mogą mieć słabe punkty, szczególnie w mniej widocznych warstwach, takich jak dostawcy danych czy infrastruktura. Na nich coraz częściej skupiają się atakujący.
Ta zmiana może wyjaśniać niedawne cele Lazarusa.
Grupa zaczęła celować w infrastrukturę cross-chain i restaking, powiedział Urbelis, te części kryptowalut, które przenoszą aktywa między systemami lub pozwalają na ich ponowne wykorzystanie.
Te warstwy są krytyczne, ale złożone, często znajdujące się pod bardziej widocznymi aplikacjami. Zwykle też przechowują duże ilości wartości, co czyni je atrakcyjnymi celami.
Jeśli wcześniejsze fale ataków na kryptowaluty koncentrowały się na giełdach lub oczywistych błędach w kodzie, niedawna aktywność sugeruje przejście w kierunku tego, co można nazwać instalacjami branży, systemami, które łączą wszystko razem, ale są trudniejsze do monitorowania i łatwiejsze do błędnej konfiguracji.
W miarę jak Lazarus nadal się adaptuje, największym ryzykiem mogą nie być nieznane podatności, ale te znane, które nie są w pełni rozwiązane.
Exploit Kelp nie wprowadził nowego rodzaju słabości. Pokazał, jak narażony pozostaje ekosystem na te znane, szczególnie gdy bezpieczeństwo jest traktowane jako zalecenie, a nie wymóg.
A gdy atakujący działają szybciej, ta luka staje się zarówno łatwiejsza do wykorzystania, jak i znacznie droższa do ignorowania.
Czytaj więcej: Hakerzy z Korei Północnej przeprowadzają masowe napady sponsorowane przez państwo, aby finansować swoją gospodarkę i program nuklearny
Źródło: https://www.coindesk.com/tech/2026/04/20/north-korea-s-crypto-heist-playbook-is-expanding-and-defi-keeps-getting-hit
