Менее чем через три недели после того, как связанные с Северной Кореей хакеры использовали социальную инженерию для атаки на криптовалютную торговую фирму Drift, хакеры, связанные с этой страной, похоже, провели еще один крупный эксплойт с Kelp.
Атака на Kelp, протокол рестейкинга, интегрированный в кросс-чейн инфраструктуру LayerZero, свидетельствует об эволюции действий связанных с Северной Кореей хакеров, которые ищут не только ошибки или украденные учетные данные, но и эксплуатируют базовые предположения, встроенные в децентрализованные системы.
Вместе взятые, эти два инцидента указывают на нечто более организованное, чем серия разовых взломов, поскольку Северная Корея продолжает наращивать усилия по захвату средств из криптовалютного сектора.
«Это не серия инцидентов; это ритм», — сказал Александр Урбелис, директор по информационной безопасности и главный юрисконсульт ENS Labs. «Вы не можете решить проблему графика закупок с помощью патчей».
Более 500 миллионов $ было выведено через эксплойты Drift и Kelp всего за две недели.
Как был взломан Kelp
По сути, эксплойт Kelp не включал взлом шифрования или подбор ключей. Система фактически работала так, как была спроектирована. Вместо этого злоумышленники манипулировали данными, поступающими в систему, и заставили ее полагаться на эти скомпрометированные входные данные, что привело к одобрению транзакций, которые фактически никогда не происходили.
«Провал безопасности прост: подписанная ложь остается ложью», — сказал Урбелис. «Подписи гарантируют авторство; они не гарантируют истину».
Проще говоря, система проверяла, кто отправил сообщение, а не было ли само сообщение корректным. Для экспертов по безопасности это делает ситуацию менее связанной с умным новым взломом и больше связанной с эксплуатацией того, как была настроена система.
«Эта атака была не о взломе криптографии», — сказал Дэвид Швед, операционный директор фирмы по безопасности блокчейна SVRN. «Она была о эксплуатации того, как была настроена система».
Одной из ключевых проблем был выбор конфигурации. Kelp полагался на одного верификатора, по сути одного проверяющего, для одобрения кросс-чейн сообщений. Это было сделано потому, что это быстрее и проще настроить, но это устраняет критически важный уровень безопасности.
LayerZero с тех пор рекомендовал использовать несколько независимых верификаторов для одобрения транзакций после инцидента, аналогично требованию нескольких подписей при банковском переводе. Некоторые участники экосистемы возразили на это, заявив, что настройкой по умолчанию LayerZero был один верификатор.
«Если вы определили конфигурацию как небезопасную, не поставляйте ее как опцию», — сказал Швед. «Безопасность, которая зависит от того, что все прочитают документацию и сделают все правильно, нереалистична».
Последствия не ограничились только Kelp. Как и многие DeFi системы, его активы используются на нескольких платформах, что означает, что проблемы могут распространяться.
«Эти активы — это цепочка долговых расписок», — сказал Швед. «И цепочка настолько прочна, насколько прочны средства контроля в каждом звене».
Когда одно звено ломается, затрагиваются другие. В данном случае кредитные платформы, такие как Aave, которые принимали затронутые активы в качестве обеспечения, теперь сталкиваются с убытками, превращая единичный эксплойт в более широкое стрессовое событие.
Маркетинг децентрализации
Атака также выявляет разрыв между тем, как продвигается децентрализация, и тем, как она фактически работает.
«Один верификатор — это не децентрализация», — сказал Швед. «Это централизованный децентрализованный верификатор».
Урбелис формулирует это более широко.
«Децентрализация — это не свойство, которым обладает система. Это серия выборов», — сказал он. «И стек настолько прочен, насколько прочен его наиболее централизованный уровень».
На практике это означает, что даже системы, которые кажутся децентрализованными, могут иметь слабые места, особенно на менее видимых уровнях, таких как поставщики данных или инфраструктура. Именно на них все чаще фокусируются злоумышленники.
Этот сдвиг может объяснить недавнее таргетирование Lazarus.
Группа начала сосредотачиваться на кросс-чейн и рестейкинг инфраструктуре, сказал Урбелис, — частях криптовалютной сферы, которые перемещают активы между системами или позволяют их повторное использование.
Эти уровни критически важны, но сложны, часто находятся под более видимыми приложениями. Они также, как правило, содержат большие объемы стоимости, что делает их привлекательными целями.
Если более ранние волны криптовалютных взломов фокусировались на биржах или очевидных недостатках кода, недавняя активность предполагает переход к тому, что можно назвать «водопроводом» индустрии, — системам, которые соединяют все вместе, но их сложнее отслеживать и проще неправильно настроить.
По мере того как Lazarus продолжает адаптироваться, самым большим риском могут быть не неизвестные уязвимости, а известные, которые не полностью устранены.
Эксплойт Kelp не внес нового типа слабости. Он показал, насколько экосистема остается уязвимой для знакомых, особенно когда безопасность рассматривается как рекомендация, а не требование.
И по мере того как злоумышленники действуют быстрее, этот разрыв становится как легче эксплуатировать, так и намного дороже игнорировать.
Читайте больше: Северокорейские хакеры проводят масштабные государственные ограбления для финансирования экономики и ядерной программы
Источник: https://www.coindesk.com/tech/2026/04/20/north-korea-s-crypto-heist-playbook-is-expanding-and-defi-keeps-getting-hit
