LayerZero 週一在初步分析中表示，週末從 KelpDAO 跨鏈橋中竊取約 2.92 億美元的攻擊「很可能」是北韓 Lazarus Group（拉撒路集團）所為，特別是其 TraderTraitor 子單位。

攻擊者週六從 KelpDAO 橋中竊取了 116,500 枚 rsETH，這是一種由質押以太坊支持的流動質押代幣，引發了去中心化金融（DeFi）領域的大規模提款，從借貸協議 Aave 中抽走了超過 100 億美元。

LayerZero 表示，這次攻擊帶有「高度複雜的國家級參與者，很可能是朝鮮民主主義人民共和國（DPRK）的 Lazarus Group」的痕跡，並明確指出是該集團的 TraderTraitor 子單位。

根據 Paradigm 研究員 Samczsun 的分析，北韓的網路行動隸屬於偵察總局（Reconnaissance General Bureau），該局下轄多個獨立單位，包括 TraderTraitor、AppleJeus、APT38 和 DangerousPassword。

在這些子單位中，TraderTraitor 被標示為針對加密貨幣最複雜的北韓參與者，此前曾與 Axie Infinity 的 Ronin Bridge 和 WazirX 的入侵事件有關。

LayerZero 表示，KelpDAO 曾使用單一驗證者來批准橋的進出轉帳，並補充說他們曾多次敦促 KelpDAO 使用多個驗證者。

LayerZero 表示，未來將停止批准任何仍採用該設定的應用程式的訊息。

單點故障

觀察家表示，這次攻擊暴露了該橋是如何建立在信任單一驗證者上的。

加密安全公司 Sodot 的共同創辦人 Shalev Keren 告訴 Decrypt，「這是一個單點故障，無論行銷如何稱呼它。」

Keren 表示，一個被攻破的檢查點就足以讓資金離開橋，而且任何審計或安全審查都無法修復這個缺陷，除非「從架構本身消除單方面信任」。

Grvt 區塊鏈負責人 Haoze Qiu 也認同此觀點，他認為「Kelp DAO 似乎接受了一個對於這種規模的資產來說冗餘度太低的橋接安全設定」，並補充說 LayerZero「也負有責任」，因為「這次入侵涉及與其驗證器堆棧相關的基礎設施，即使這並未被描述為核心協議錯誤」。

根據區塊鏈安全公司 Cyvers 的分析，攻擊者在另一個 1 億美元被迅速列入黑名單切斷前，差點就將其盜走。Cyvers 技術長 Meir Dolev 告訴 Decrypt，這次行動是基於欺騙單一通訊通道。

攻擊者利用驗證者用於檢查 Unichain 上是否實際發生提款的兩條線路，在這些線路上輸入虛假的「是」，然後將其餘線路斷線，迫使驗證者依賴那些已被入侵的線路。

Dolev 說：「金庫沒問題。警衛是誠實的。門的機制運作正常。謊言直接傳達給了那個說一不二、能打開門的一方。」

然而，儘管其基礎設施支援被盜橋的 LayerZero 指出 Lazarus 為可能的罪魁禍首，Cyvers 在自己的分析中並未做出相同的歸因。

Dolev 表示，某些模式與朝鮮民主主義人民共和國（DPRK）相關行動在複雜性、規模和協調執行方面相符，但尚未證實有與該集團相關的錢包群集。

他補充說，惡意節點軟體被設計成在攻擊結束後自行刪除，清除二進制文件和日誌，以即時和在事後分析中抹去攻擊者的蹤跡。

本月初，攻擊者從基於 Solana 的永續合約協議 Drift 中竊取了約 2.85 億美元，該攻擊後來被歸因於北韓的行動人員。

Dolev 指出，Drift 攻擊「在準備和執行方面非常不同」，但兩次攻擊都需要漫長的準備時間、深厚的專業知識和大量的資源才能成功。

Cyvers 懷疑被盜資金已轉移到這個以太坊地址，這與鏈上調查員 ZachXBT 的另一份報告一致，該報告將其與另外四個地址一併標記。根據 ZachXBT 的說法，這些攻擊地址是通過混幣器 Tornado Cash 進行資金來源的。