北朝鮮と関連するハッカーがソーシャルエンジニアリングを使用して暗号資産取引会社Driftを攻撃してから3週間も経たないうちに、同国と結びついたハッカーがKelpで別の大規模なエクスプロイトを成功させたようです。
LayerZeroのクロスチェーンインフラストラクチャに組み込まれたリステーキングプロトコルであるKelpへの攻撃は、北朝鮮と関連するハッカーの活動方法の進化を示唆しており、単にバグや盗まれた認証情報を探すだけでなく、分散型システムに組み込まれた基本的な前提を悪用しています。
これらの2つの事件を合わせて見ると、北朝鮮が暗号資産セクターから資金を乗っ取る取り組みをエスカレートし続ける中、一連の単発的なハッキングよりも組織的なものを示しています。
「これは一連の事件ではなく、リズムです」と、ENS Labsの最高情報セキュリティ責任者兼法律顧問のAlexander Urbelisは述べました。「調達スケジュールからパッチで抜け出すことはできません。」
わずか2週間余りで、DriftとKelpのエクスプロイト全体で5億ドル以上が流出しました。
Kelpがどのように侵害されたか
その核心において、Kelpのエクスプロイトは暗号化を破ったり、鍵を解読したりすることを含んでいませんでした。システムは実際に設計された通りに機能しました。むしろ、攻撃者はシステムに供給されるデータを操作し、それらの侵害された入力に依存することを強制し、実際には発生しなかった取引を承認させました。
「セキュリティの失敗はシンプルです。署名された嘘は依然として嘘です」とUrbelisは述べました。「署名は著作者を保証しますが、真実を保証するものではありません。」
より簡単に言えば、システムはメッセージを送信したのが誰かを確認しましたが、メッセージ自体が正しいかどうかは確認しませんでした。セキュリティ専門家にとって、これは巧妙な新しいハッキングというより、システムがどのように設定されたかを悪用することに関するものです。
「この攻撃は暗号化を破ることについてではありませんでした」と、ブロックチェーンセキュリティ会社SVRNのCOOであるDavid Schwedは述べました。「それはシステムがどのように設定されたかを悪用することについてでした。」
重要な問題の1つは、設定の選択でした。Kelpは単一の検証者、本質的には1つのチェッカーに依存して、クロスチェーンメッセージを承認していました。これは、設定がより速くシンプルだからですが、重要な安全層を取り除きます。
LayerZeroはその後、銀行振込で複数の署名を要求するのと同様に、取引を承認するために複数の独立した検証者を使用することを推奨しています。エコシステムの一部では、LayerZeroのデフォルト設定が単一の検証者を持つことであったと述べて、そのフレーミングに反発しています。
「設定が安全でないと特定した場合は、それをオプションとして提供しないでください」とSchwedは述べました。「全員がドキュメントを読んで正しく理解することに依存するセキュリティは現実的ではありません。」
影響はKelpに限定されていません。多くの分散型金融システムと同様に、その資産は複数のプラットフォームで使用されており、問題が広がる可能性があります。
「これらの資産は借用証書のチェーンです」とSchwedは述べました。「そして、チェーンは各リンクのコントロールと同じくらい強いだけです。」
1つのリンクが壊れると、他のリンクが影響を受けます。この場合、影響を受けた資産を担保資産として受け入れたAaveのような貸付プラットフォームは現在損失に対処しており、単一のエクスプロイトをより広範なストレスイベントに変えています。
非中央集権のマーケティング
この攻撃はまた、非中央集権がどのようにマーケティングされているかと、実際にどのように機能するかとの間のギャップを露呈しています。
「単一の検証者は非中央集権ではありません」とSchwedは述べました。「それは中央集権化された非中央集権的検証者です。」
Urbelisはそれをより広く述べています。
「非中央集権はシステムが持つ特性ではありません。それは一連の選択です」と彼は述べました。「そして、スタックはその最も中央集権化された層と同じくらい強いだけです。」
実際には、それは非中央集権的に見えるシステムでさえ弱点を持つ可能性があることを意味し、特にデータプロバイダーやインフラストラクチャのような目に見えにくい層では顕著です。これらは攻撃者が焦点を当てる場所が増えています。
この変化は、Lazarusの最近のターゲティングを説明するかもしれません。
このグループは、クロスチェーンとリステーキングインフラストラクチャ、つまりシステム間で資産を移動したり、再利用できるようにする暗号資産の部分に焦点を絞り始めたとUrbelisは述べました。
これらの層は重要ですが複雑で、多くの場合、より目に見えるアプリケーションの下に位置しています。また、大量の価値を保持する傾向があり、魅力的なターゲットとなっています。
初期の暗号資産ハッキングの波が取引所や明らかなコードの欠陥に焦点を当てていたとすれば、最近の活動は業界の配管と呼ばれるもの、つまりすべてを接続するシステムに向かっているように見えますが、監視が難しく、誤設定しやすいものです。
Lazarusが適応し続ける中、最大のリスクは未知の脆弱性ではなく、完全に対処されていない既知の脆弱性かもしれません。
Kelpのエクスプロイトは新しい種類の弱点を導入しませんでした。それは、特にセキュリティが要件ではなく推奨として扱われる場合、エコシステムが馴染みのあるものにどれほど晒されたままであるかを示しました。
そして、攻撃者がより速く動くにつれて、そのギャップは悪用しやすくなり、無視するにははるかに高価になっています。
続きを読む:北朝鮮のハッカーは、経済と核プログラムを運営するために大規模な国家主導の強奪を実行しています
Source: https://www.coindesk.com/tech/2026/04/20/north-korea-s-crypto-heist-playbook-is-expanding-and-defi-keeps-getting-hit
