De Noord-Koreaanse Lazarus-groep wordt verantwoordelijk gehouden voor een cryptocurrency-diefstal van ongeveer $290 miljoen bij het Kelp DAO DeFi-protocol. De aanval vond plaats op zondag om 17:35 UTC, toen de aanvallers een kwaadaardige instructie uitvoerden om 116.500 rsETH (restaked ether) te onttrekken, met een waarde van circa $292 miljoen. Na de diefstal pauzeerde Kelp DAO de relevante contracten en plaatste de wallet van de aanvallers op een zwarte lijst, waardoor een tweede poging om nog eens 40.000 rsETH (ongeveer $95 miljoen) te stelen werd geblokkeerd.

Kelp DAO is een liquid restaking-protocol dat gebruikers-ETH via het restaking-protocol EigenLayer leidt om extra beloningen te genereren en rsETH uitgeeft. Het protocol vertrouwt op een zogenaamde '1-of-1 verifier configuratie' om instructies te valideren. De aanvallers richtten zich op deze configuratie om het verificatieproces te manipuleren en zo fondsen te onttrekken. Hiervoor werd LayerZero aangevallen, de cross-chain messaging infrastructuur die blockchains in staat stelt geverifieerde instructies uit te wisselen.

LayerZero’s Decentralized Verifier Network (DVN) gebruikt meerdere RPC’s (Remote Procedure Calls) om de integriteit van cross-chain instructies te controleren. De hackers wisten twee van deze RPC’s te compromitteren en te manipuleren. Volgens LayerZero voerden zij een RPC-spoofing aanval uit waarbij een kwaadaardige node een speciaal payload gebruikte om berichten naar de DVN te vervalsen zonder waarschuwingen te triggeren. Vervolgens lanceerden de aanvallers een DDoS-aanval op de overige RPC’s, waardoor het systeem overschakelde naar de gecompromitteerde nodes en de kwaadaardige instructies werden geaccepteerd.

LayerZero stelt dat het een zeer geavanceerde aanval betrof, vermoedelijk uitgevoerd door TraderTraitor, een subgroep binnen de beruchte Noord-Koreaanse APT Lazarus-groep die al meerdere crypto-diefstallen op haar naam heeft staan. Volgens LayerZero had de diefstal voorkomen kunnen worden als Kelp DAO een multi-DVN setup had geïmplementeerd, wat de industriestandaard is. LayerZero had Kelp DAO eerder geadviseerd om af te stappen van de enkele DVN-configuratie, maar Kelp DAO koos ervoor deze te behouden.

Kelp DAO wijst LayerZero echter aan als verantwoordelijke voor het incident, omdat het niet zelf de aangevallen infrastructuur beheert en stelt dat de enkele DVN-configuratie de door LayerZero gedocumenteerde standaard is. Kelp DAO geeft aan sinds januari 2024 gebruik te maken van LayerZero-infrastructuur en dat de DVN-configuratie tijdens de uitbreiding naar Layer 2 als passend is bevestigd. Momenteel richt Kelp DAO zich op het voorkomen van verdere besmetting binnen DeFi. Diverse partners, waaronder het Arbitrum Security Council, hebben direct activa bevroren die verbonden zijn aan de aanval.

De impact van het incident is breed. Zo registreerde het gedecentraliseerde non-custodial liquiditeitsprotocol Aave een daling van bijna $8 miljard in totale waarde. Volgens Binance hebben de hackers de gestolen fondsen als onderpand gestort bij Aave v3 en wrapped Ether geleend, wat resulteerde in een schuld van $195 miljoen. Door massale opnames raakten de Aave v3 leenpools volledig benut, waardoor meer dan $5,1 miljard aan stablecoins geblokkeerd werden.