La mai puțin de trei săptămâni după ce hackerii legați de Coreea de Nord au folosit inginerie socială pentru a ataca firma de tranzacționare cripto Drift, hackerii legați de această națiune par să fi realizat un alt exploit major cu Kelp.
Atacul asupra Kelp, un protocol de restaking integrat în infrastructura cross-chain a LayerZero, sugerează o evoluție în modul în care operează hackerii legați de Coreea de Nord, nu doar căutând bug-uri sau acreditări furate, ci exploatând presupunerile de bază integrate în sistemele descentralizate.
Luate împreună, cele două incidente indică ceva mai organizat decât o serie de hack-uri izolate, pe măsură ce Coreea de Nord continuă să escaladeze eforturile sale de a detourna fonduri din sectorul cripto.
„Aceasta nu este o serie de incidente; este o cadență", a declarat Alexander Urbelis, director de securitate informatică și consilier general la ENS Labs. „Nu poți rezolva prin patch-uri un program de achiziții."
Peste 500 de milioane de dolari au fost sustrase prin exploatările Drift și Kelp în puțin peste două săptămâni.
Cum a fost compromis Kelp
În esență, exploatarea Kelp nu a implicat spargerea criptării sau cracking-ul cheilor. Sistemul a funcționat efectiv așa cum a fost proiectat. Mai degrabă, atacatorii au manipulat datele introduse în sistem și l-au forțat să se bazeze pe acele intrări compromise, determinându-l să aprobe tranzacții care nu s-au produs niciodată.
„Eșecul de securitate este simplu: o minciună semnată rămâne o minciună", a spus Urbelis. „Semnăturile garantează autorul; ele nu garantează adevărul."
În termeni mai simpli, sistemul a verificat cine a trimis mesajul, nu dacă mesajul în sine era corect. Pentru experții în securitate, acest lucru face ca situația să fie mai puțin despre un hack nou ingenios și mai mult despre exploatarea modului în care a fost configurat sistemul.
„Acest atac nu a fost despre spargerea criptografiei", a declarat David Schwed, COO al firmei de securitate blockchain SVRN. „A fost despre exploatarea modului în care a fost configurat sistemul."
O problemă cheie a fost o alegere de configurare. Kelp se baza pe un singur verificator, în esență un singur checker, pentru a aproba mesajele cross-chain. Acest lucru se datorează faptului că este mai rapid și mai simplu de configurat, dar elimină un nivel critic de siguranță.
LayerZero a recomandat de atunci utilizarea mai multor verificatori independenți pentru a aproba tranzacțiile în urma incidentului, similar cu cerința de semnături multiple pentru un transfer bancar. Unii din ecosistem au contestat această abordare, spunând că configurația implicită a LayerZero era de a avea un singur verificator.
„Dacă ai identificat o configurație ca fiind nesigură, nu o livra ca opțiune", a spus Schwed. „Securitatea care depinde de faptul că toată lumea citește documentația și o face corect nu este realistă."
Consecințele nu au rămas limitate la Kelp. Ca multe sisteme DeFi, activele sale sunt utilizate pe multiple platforme, ceea ce înseamnă că problemele se pot răspândi.
„Aceste active sunt un lanț de obligații", a spus Schwed. „Iar lanțul este la fel de puternic ca și controalele de pe fiecare verigă."
Când o verigă se rupe, altele sunt afectate. În acest caz, platformele de creditare precum Aave care au acceptat activele afectate ca garanție se confruntă acum cu pierderi, transformând un singur exploit într-un eveniment de stres mai amplu.
Marketingul descentralizării
Atacul expune, de asemenea, un decalaj între modul în care este promovată descentralizarea și modul în care funcționează efectiv.
„Un singur verificator nu este descentralizat", a spus Schwed. „Este un verificator descentralizat centralizat."
Urbelis o pune mai pe larg.
„Descentralizarea nu este o proprietate pe care o are un sistem. Este o serie de alegeri", a spus el. „Iar stiva este la fel de puternică ca și cel mai centralizat strat al său."
În practică, aceasta înseamnă că chiar și sistemele care par descentralizate pot avea puncte slabe, în special în straturile mai puțin vizibile, cum ar fi furnizorii de date sau infrastructura. Acestea sunt din ce în ce mai mult locurile pe care se concentrează atacatorii.
Această schimbare poate explica țintirea recentă a Lazarus.
Grupul a început să se concentreze pe infrastructura cross-chain și restaking, a spus Urbelis, părțile din cripto care mută active între sisteme sau le permit să fie reutilizate.
Aceste straturi sunt critice, dar complexe, adesea aflându-se sub aplicațiile mai vizibile. Ele tind, de asemenea, să dețină cantități mari de valoare, făcându-le ținte atractive.
Dacă valurile anterioare de hack-uri cripto s-au concentrat pe schimburi sau defecte evidente de cod, activitatea recentă sugerează o mișcare către ceea ce ar putea fi numit instalația industriei, sistemele care conectează totul împreună, dar sunt mai greu de monitorizat și mai ușor de configurat greșit.
Pe măsură ce Lazarus continuă să se adapteze, cel mai mare risc poate să nu fie vulnerabilitățile necunoscute, ci cele cunoscute care nu sunt pe deplin abordate.
Exploatarea Kelp nu a introdus un nou tip de slăbiciune. A arătat cât de expus rămâne ecosistemul la cele familiare, mai ales atunci când securitatea este tratată ca o recomandare mai degrabă decât o cerință.
Și pe măsură ce atacatorii se mișcă mai repede, acest decalaj devine atât mai ușor de exploatat, cât și mult mai costisitor de ignorat.
Citește mai mult: Hackerii nord-coreeni conduc jafuri masive sponsorizate de stat pentru a-și finanța economia și programul nuclear
Sursă: https://www.coindesk.com/tech/2026/04/20/north-korea-s-crypto-heist-playbook-is-expanding-and-defi-keeps-getting-hit
