在与朝鲜有关的黑客使用社交工程攻击加密货币交易公司 Drift 不到三周后,与该国相关的黑客似乎又对 Kelp 实施了另一次重大攻击。
对 Kelp 的攻击表明,与朝鲜有关的黑客的操作方式正在演变,他们不仅寻找漏洞或窃取凭证,还利用去中心化系统中内置的基本假设。Kelp 是一个与 LayerZero 的跨链基础设施相关联的重新质押协议。
综合来看,这两起事件表明,随着朝鲜继续加大从加密货币领域劫持资金的力度,这不仅仅是一连串的单次黑客攻击,而是更有组织性的行动。
"这不是一系列事件;而是一种节奏,"ENS Labs 首席信息安全官兼总法律顾问 Alexander Urbelis 说。"你无法通过修补来摆脱采购计划。"
在短短两周多的时间里,Drift 和 Kelp 的攻击中被窃取了超过 5 亿美元。
Kelp 如何被攻破
从本质上讲,Kelp 的攻击并不涉及破解加密或破解密钥。系统实际上按照其设计方式运作。相反,攻击者操纵了输入系统的数据,并迫使其依赖这些被篡改的输入,导致系统批准了实际上从未发生过的交易。
"安全失败很简单:签名的谎言仍然是谎言,"Urbelis 说。"签名保证作者身份;但不保证真实性。"
简单来说,系统检查了谁发送了消息,而不是消息本身是否正确。对于安全专家来说,这不太关乎巧妙的新黑客手法,更多的是关于如何利用系统的设置方式。
"这次攻击不是关于破解密码学,"区块链安全公司 SVRN 的首席运营官 David Schwed 说。"而是关于利用系统的设置方式。"
一个关键问题是配置选择。Kelp 依赖单一验证器,本质上是一个检查器,来批准跨链消息。这是因为它设置起来更快更简单,但它移除了一个关键的安全层。
此后,LayerZero 建议使用多个独立验证器来批准交易,类似于要求银行转账需要多个签名。生态系统中的一些人对这种说法提出了反对,称 LayerZero 的默认设置就是使用单一验证器。
"如果你已经确定某个配置不安全,就不要将其作为选项提供,"Schwed 说。"依赖每个人阅读文档并正确操作的安全性是不现实的。"
影响并未仅限于 Kelp。像许多 DeFi 系统一样,其资产在多个平台上使用,这意味着问题可能会蔓延。
"这些资产是一连串的借条,"Schwed 说。"而这条链的强度只取决于每个环节的控制。"
当一个环节断裂时,其他环节也会受到影响。在这种情况下,像 Aave 这样接受受影响资产作为抵押品的借贷平台现在正在处理损失,将单一攻击变成了更广泛的压力事件。
去中心化营销
这次攻击还揭示了去中心化的营销方式与其实际运作方式之间的差距。
"单一验证器不是去中心化的,"Schwed 说。"它是一个中心化的去中心化验证器。"
Urbelis 的表述更为广泛。
"去中心化不是系统拥有的属性。它是一系列选择,"他说。"而堆栈的强度只取决于其最中心化的层。"
实际上,这意味着即使是看似去中心化的系统也可能存在弱点,尤其是在数据提供商或基础设施等不太明显的层面。攻击者越来越多地关注这些地方。
这种转变可能解释了 Lazarus 最近的目标选择。
Urbelis 说,该组织已经开始专注于跨链和重新质押基础设施,即加密货币中在系统之间移动资产或允许资产被重复使用的部分。
这些层面至关重要但很复杂,通常位于更明显的应用程序之下。它们还倾向于持有大量价值,使其成为有吸引力的目标。
如果早期的加密货币黑客攻击集中在交易所或明显的代码缺陷上,最近的活动表明正在转向可以称为行业管道的方向,即将所有内容连接在一起但更难监控且更容易配置错误的系统。
随着 Lazarus 继续适应,最大的风险可能不是未知的漏洞,而是已知但未完全解决的漏洞。
Kelp 的攻击并没有引入新的弱点类型。它显示了生态系统在熟悉的弱点面前仍然暴露,尤其是当安全被视为建议而非要求时。
随着攻击者行动加快,这一差距变得更容易被利用,忽视的代价也更加昂贵。
阅读更多:朝鲜黑客正在进行大规模国家支持的盗窃以运营其经济和核计划
来源: https://www.coindesk.com/tech/2026/04/20/north-korea-s-crypto-heist-playbook-is-expanding-and-defi-keeps-getting-hit
