Vähem kui kolme nädala pärast seda, kui Põhja-Korea seotud hakerid kasutasid sotsiaalset insenerit, et rünnata krüptorahavahetustegutsevat firmat Drift, tundub, et riigiga seotud hakerid on teinud veel ühe suure rünnaku – seekord Kelpi vastu.
Kelpi rünnak, mis on restaking-protokoll, mis on integreeritud LayerZero ristahela (cross-chain) infrastruktuuri, viitab sellele, kuidas Põhja-Korea seotud hakerid oma tegevust arendavad: nad ei otsi enam ainult tarkvaravigu ega varastatud identimiste andmeid, vaid eksploiteerivad ka põhimõtteid, millele hajutatud süsteemid põhinevad.
Mõlemad juhtumid kokku võttes näitab see midagi korralikumat kui üksikute rünnakute jada – Põhja-Korea teeb edasi järjest suuremat pinget, et krüptosektorist rahalisi vahendeid ära võtta.
„See ei ole juhtumite jada; see on rütm,“ ütles Alexander Urbelis, ENS Labsi peateabeohutusjuht ja üldine nõunik. „Sa ei saa turvaprobleemi parandustega lahendada – see on otsinguprotsess.”
Rohkem kui 500 miljonit dollarit viidi ära Drifti ja Kelpi rünnakute käigus vaid veerandsajand aegselt.
Kuidas Kelpi rünnati
Põhimõtteliselt ei põhinenud Kelpi rünnak krüpteerimise murdmisel ega võtmete lahtimurdmisel. Süsteem tegi täpselt seda, milleks ta oli disainitud. Pigem manipuleerisid ründajad süsteemi sisendiks olevat andmestikku ja sundisid süsteemi usaldama neid kompromitteeritud sisendeid, mille tulemusena kinnitati tehinguid, mis tegelikult kunagi ei toimunud.
„Turvapuudus on lihtne: allkirjastatud vale on siiski vale,“ ütles Urbelis. „Allkirjad tagavad autorshipi, mitte tõesuse.“
Lihtsamalt öeldes kontrollis süsteem seda, kes sõnumi saatnud, mitte seda, kas sõnum ise on õige. Turvaspetsialistide jaoks tähendab see pigem süsteemi ehituse eksploiteerimist kui mingit uut, geniaalset rünnakut.
„See rünnak ei põhinenud krüptograafia murdmisel,“ ütles blockchaini turvafirma SVRN tegevjuht David Schwed. „See põhines süsteemi ehituse eksploiteerimisel.“
Üks oluline probleem oli konfiguratsioonivalik. Kelp kasutas ühte ülemaailmset verifikaatorit – st ühte kontrollijat – ristahela sõnumite kinnitamiseks. See on kiirem ja lihtsam paigaldada, kuid see eemaldab kriitilise turvalisuskihi.
LayerZero soovitas pärast rünnakut kasutada tehingute kinnitamiseks mitut sõltumatut verifikaatorit – sarnaselt pangasüsteemis tehingu kinnitamiseks vajalikele mitmele allkirjale. Mõned ekosüsteemi osapooled on sellele lähenemisele vastu seisnud ja väitnud, et LayerZero vaikimisi seadistus ongi üks verifikaator.
„Kui oled tuvastanud konfiguratsiooni ohutuks, siis ära paku seda valikuna,“ ütles Schwed. „Turvalisus, mis sõltub kõigist dokumentatsiooni lugemisest ja õigesti tegutsemisest, pole reaalne.“
Tagajärjed ei piirdunud Kelpiga. Nagu paljud muud DeFi-süsteemid, kasutatakse Kelpi varasid mitmes platvormis, mistõttu probleemid võivad levima.
„Need varad on IOU-de ahel,“ ütles Schwed. „Ja ahel on nii tugev kui iga ühenduse kontrollid.“
Kui üks ühendus katkeb, mõjutab see ka teisi. Sel juhul peavad laenuplatvormid nagu Aave, kes aktsepteerisid mõjutatud varasid kui tagatisi, nüüd kahjusid kandma, muutes ühe rünnaku laiemaks stressisündmuseks.
Hajutatuse turundus
Rünnak paljastab ka lünga hajutatuse turunduse ja selle tegeliku tööpõhimõtte vahel.
„Üks verifikaator ei ole hajutatud,“ ütles Schwed. „See on tsentraliseeritud hajutatud verifikaator.“
Urbelis väljendas seda laiemalt.
„Hajutatus ei ole süsteemi omadus. See on valikute kogum,“ ütles ta. „Ja tarkvarakiht on nii tugev kui tema kõige tsentraliseeritum kiht.“
Praktikas tähendab see, et isegi näiliselt hajutatud süsteemidel võib olla nõrgad kohad, eriti vähem silmatavalistes kihtides, nagu andmete pakkujad või infrastruktuur. Just neile kohtadele on ründajad viimasel ajal rohkem tähelepanu pööranud.
Selle nihkumise võib selgitada Lazarus’i hiljutise sihtimisega.
Grupp on alkanud keskenduma ristahela ja restakingu infrastruktuurile, ütles Urbelis – see on krüptomaailma osa, mis liigutab varasid süsteemide vahel või võimaldab neid uuesti kasutada.
Need kihid on kriitilised, kuid keerukad ning asuvad sageli nähtamatult visuaalselt silmatavaliste rakenduste all. Samuti hoitakse neis sageli suuri rahalisi summasid, mistõttu on need atraktiivsed sihtmärgid.
Kui varasemad krüptorünnakute lainetused keskendusid vahetusplatvormidele või ilmsele koodivigadele, viitab hiljutine tegevus liikumisele selle poole, mida saab nimetada tööstuse „torustikuks“ – süsteemideks, mis kõike kokku ühendavad, kuid mida on raskem jälgida ja mille konfigureerimisel on lihtsam eksida.
Nagu Lazarus enda tegevust kohandab, ei pruugi suurim oht olla tundmatud turvaaugud, vaid teadaolevad augud, mida ei ole täielikult kõrvaldatud.
Kelpi rünnak ei tutvustanud uut nõrkuskoha tüüpi. See näitas, kui palju ekosüsteem on endiselt avatud tuntud nõrkustele, eriti siis, kui turvalisust käsitletakse soovitusena, mitte nõuetena.
Nagu ründajad kiirenevad, muutub see lünka nii lihtsamaks eksploiteerida kui ka palju kallimaks ignoreerida.
Lisalugemiseks: Põhja-Korea hakerid juhivad massilisi riigipoolseid vararünnakuid, et toetada oma majandust ja tuumaprogrammi
Source: https://www.coindesk.com/tech/2026/04/20/north-korea-s-crypto-heist-playbook-is-expanding-and-defi-keeps-getting-hit
