دفترچه راهنمای سرقت کریپتوی کره شمالی در حال گسترش است و دیفای همچنان مورد حمله قرار می‌گیرد

کمتر از سه هفته پس از اینکه هکرهای مرتبط با کره شمالی از مهندسی اجتماعی برای حمله به شرکت معاملات کریپتو Drift استفاده کردند، به نظر می‌رسد هکرهای مرتبط با این کشور موفق به انجام یک سوءاستفاده بزرگ دیگر با Kelp شده‌اند.

حمله به Kelp، یک پروتکل restaking مرتبط با زیرساخت میان زنجیره‌ای LayerZero، نشان‌دهنده تکامل در نحوه عملکرد هکرهای مرتبط با کره شمالی است که نه تنها به دنبال باگ‌ها یا اعتبارنامه‌های سرقت شده هستند، بلکه فرضیات اساسی ساخته شده در سیستم‌های غیر متمرکز را مورد سوءاستفاده قرار می‌دهند.

در مجموع، این دو حادثه به چیزی سازمان‌یافته‌تر از یک رشته هک‌های یک‌باره اشاره دارند، زیرا کره شمالی به تشدید تلاش‌های خود برای ربودن وجوه از بخش کریپتو ادامه می‌دهد.

الکساندر اوربلیس، مدیر ارشد امنیت اطلاعات و مشاور حقوقی ENS Labs گفت: "این یک سری حوادث نیست؛ این یک ریتم است. شما نمی‌توانید با وصله‌کاری از برنامه تدارکات خارج شوید."

بیش از 500 میلیون دلار در طی بیش از دو هفته از طریق سوءاستفاده‌های Drift و Kelp سیفون شد.

چگونه Kelp نقض شد

در اصل، سوءاستفاده از Kelp شامل شکستن رمزگذاری یا کرک کردن کلیدها نبود. سیستم در واقع همان‌طور که طراحی شده بود کار می‌کرد. در عوض، مهاجمان داده‌های ورودی به سیستم را دستکاری کردند و آن را مجبور کردند به آن ورودی‌های به خطر افتاده تکیه کند و باعث شد تراکنش‌هایی را تایید کند که هرگز واقعاً رخ نداده بودند.

اوربلیس گفت: "شکست امنیتی ساده است: یک دروغ امضا شده هنوز هم یک دروغ است. امضاها تضمین تالیف را می‌دهند؛ آن‌ها حقیقت را تضمین نمی‌کنند."

به بیان ساده‌تر، سیستم بررسی می‌کرد چه کسی پیام را ارسال کرده است، نه اینکه آیا خود پیام صحیح است یا خیر. برای کارشناسان امنیتی، این موضوع کمتر درباره یک هک جدید هوشمندانه و بیشتر درباره سوءاستفاده از نحوه راه‌اندازی سیستم است.

دیوید شود، مدیر عملیاتی شرکت امنیت بلاک چین SVRN گفت: "این حمله درباره شکستن رمزنگاری نبود. این درباره سوءاستفاده از نحوه راه‌اندازی سیستم بود."

یکی از مسائل کلیدی یک انتخاب پیکربندی بود. Kelp به یک تاییدکننده واحد، در اصل یک بررسی‌کننده، برای تایید پیام‌های میان زنجیره‌ای تکیه کرد. این به این دلیل است که راه‌اندازی آن سریع‌تر و ساده‌تر است، اما یک لایه ایمنی حیاتی را حذف می‌کند.

LayerZero از آن زمان توصیه کرده است که از چندین تاییدکننده مستقل برای تایید تراکنش‌ها در پی‌آمدها استفاده شود، مشابه نیاز به امضاهای متعدد در یک انتقال بانکی. برخی در اکوسیستم غیر متمرکز به این چارچوب واکنش نشان داده‌اند و گفته‌اند که تنظیم پیش‌فرض LayerZero داشتن یک تاییدکننده واحد بود.

شود گفت: "اگر یک پیکربندی را به عنوان ناامن شناسایی کرده‌اید، آن را به عنوان یک گزینه ارسال نکنید. امنیتی که به خواندن اسناد توسط همه و درست انجام دادن آن بستگی دارد، واقع‌بینانه نیست."

پی‌آمدها محدود به Kelp نمانده است. مانند بسیاری از سیستم‌های دیفای، دارایی‌های آن در پلتفرم‌های متعدد استفاده می‌شود، به این معنی که مشکلات می‌توانند گسترش یابند.

شود گفت: "این دارایی‌ها یک زنجیره از قبوض هستند. و زنجیره فقط به قدرت کنترل‌های هر حلقه قوی است."

هنگامی که یک حلقه می‌شکند، دیگران تحت تاثیر قرار می‌گیرند. در این مورد، پلتفرم‌های وام‌دهی مانند Aave که دارایی‌های تحت تاثیر را به عنوان وثیقه پذیرفته‌اند، اکنون با ضررها روبرو هستند و یک سوءاستفاده واحد را به یک رویداد استرس گسترده‌تر تبدیل می‌کنند.

بازاریابی غیرمتمرکزسازی

این حمله همچنین شکافی بین نحوه بازاریابی غیرمتمرکزسازی و نحوه عملکرد واقعی آن را آشکار می‌کند.

شود گفت: "یک تاییدکننده واحد غیر متمرکز نیست. این یک تاییدکننده غیرمتمرکز متمرکز است."

اوربلیس آن را به طور گسترده‌تری بیان می‌کند.

او گفت: "غیرمتمرکزسازی یک ویژگی که یک سیستم دارد نیست. این یک سری انتخاب است. و پشته فقط به قدرت متمرکزترین لایه خود قوی است."

در عمل، این بدان معناست که حتی سیستم‌هایی که به نظر غیر متمرکز می‌رسند می‌توانند نقاط ضعف داشته باشند، به ویژه در لایه‌های کمتر قابل مشاهده مانند ارائه‌دهندگان داده یا زیرساخت. اینها به طور فزاینده‌ای جایی است که مهاجمان بر آن تمرکز می‌کنند.

این تغییر ممکن است هدف‌گیری اخیر Lazarus را توضیح دهد.

اوربلیس گفت که این گروه شروع به تمرکز بر زیرساخت میان زنجیره‌ای و restaking کرده است، بخش‌هایی از کریپتو که دارایی‌ها را بین سیستم‌ها منتقل می‌کنند یا اجازه می‌دهند مجدداً استفاده شوند.

این لایه‌ها حیاتی اما پیچیده هستند و اغلب زیر برنامه‌های قابل مشاهده‌تر قرار دارند. آن‌ها همچنین تمایل دارند مقادیر زیادی از ارزش را نگه دارند و آن‌ها را به اهداف جذابی تبدیل می‌کنند.

اگر موج‌های اولیه هک‌های کریپتو بر صرافی‌ها یا نقص‌های کد آشکار متمرکز بودند، فعالیت اخیر نشان‌دهنده حرکت به سمت آنچه می‌تواند لوله‌کشی صنعت نامیده شود، سیستم‌هایی که همه چیز را به هم متصل می‌کنند، اما نظارت بر آن‌ها سخت‌تر و پیکربندی نادرست آن‌ها آسان‌تر است.

همانطور که Lazarus به سازگاری ادامه می‌دهد، بزرگترین خطر ممکن است آسیب‌پذیری‌های ناشناخته نباشد، بلکه آسیب‌پذیری‌های شناخته شده‌ای باشد که به طور کامل رسیدگی نشده‌اند.

سوءاستفاده از Kelp نوع جدیدی از ضعف را معرفی نکرد. این نشان داد که چگونه اکوسیستم غیر متمرکز در معرض آسیب‌پذیری‌های آشنا باقی می‌ماند، به خصوص زمانی که امنیت به عنوان یک توصیه به جای یک الزام در نظر گرفته شود.

و همانطور که مهاجمان سریع‌تر حرکت می‌کنند، این شکاف هم سوءاستفاده از آن آسان‌تر و هم نادیده گرفتن آن بسیار گران‌تر می‌شود.

بیشتر بخوانید: هکرهای کره شمالی در حال اجرای سرقت‌های عظیم حمایت شده توسط دولت برای اداره اقتصاد و برنامه هسته‌ای خود هستند