Chưa đầy ba tuần sau khi tin tặc liên kết với Triều Tiên sử dụng kỹ thuật xã hội để tấn công công ty giao dịch tiền điện tử Drift, những tin tặc có liên hệ với quốc gia này dường như đã thực hiện một cuộc tấn công lớn khác với Kelp.
Cuộc tấn công vào Kelp, một giao thức restaking kết nối với cơ sở hạ tầng cross-chain của LayerZero, cho thấy sự tiến hóa trong cách thức hoạt động của tin tặc liên kết với Triều Tiên, không chỉ tìm kiếm lỗi hoặc thông tin đăng nhập bị đánh cắp, mà còn khai thác các giả định cơ bản được xây dựng trong các hệ thống phi tập trung.
Kết hợp lại, hai sự cố này chỉ ra điều gì đó có tổ chức hơn một chuỗi các vụ hack đơn lẻ, khi Triều Tiên tiếp tục leo thang nỗ lực chiếm đoạt tiền từ lĩnh vực tiền điện tử.
"Đây không phải là một chuỗi các sự cố; đó là một nhịp điệu," Alexander Urbelis, giám đốc an ninh thông tin và cố vấn chung tại ENS Labs cho biết. "Bạn không thể vá lỗi để thoát khỏi một lịch trình mua sắm."
Hơn 500 triệu USD đã bị chiếm đoạt qua các lỗ hổng Drift và Kelp chỉ trong hơn hai tuần.
Kelp bị vi phạm như thế nào
Về cơ bản, lỗ hổng Kelp không liên quan đến việc phá vỡ mã hóa hoặc bẻ khóa. Hệ thống thực sự hoạt động theo cách nó được thiết kế. Thay vào đó, kẻ tấn công đã thao túng dữ liệu đưa vào hệ thống và buộc nó phải dựa vào những đầu vào bị xâm phạm đó, khiến nó phê duyệt các giao dịch chưa bao giờ thực sự xảy ra.
"Lỗi bảo mật rất đơn giản: một lời nói dối đã ký vẫn là lời nói dối," Urbelis nói. "Chữ ký đảm bảo quyền tác giả; chúng không đảm bảo sự thật."
Nói một cách đơn giản hơn, hệ thống kiểm tra ai đã gửi tin nhắn, chứ không phải liệu bản thân tin nhắn có đúng hay không. Đối với các chuyên gia bảo mật, điều này ít liên quan đến một vụ hack mới thông minh hơn và nhiều hơn về việc khai thác cách hệ thống được thiết lập.
"Cuộc tấn công này không phải là về việc phá vỡ mật mã," David Schwed, COO của công ty bảo mật blockchain SVRN cho biết. "Nó là về việc khai thác cách hệ thống được thiết lập."
Một vấn đề chính là lựa chọn cấu hình. Kelp dựa vào một trình xác minh duy nhất, về cơ bản là một trình kiểm tra, để phê duyệt các tin nhắn cross-chain. Đó là vì nó nhanh hơn và đơn giản hơn để thiết lập, nhưng nó loại bỏ một lớp an toàn quan trọng.
LayerZero kể từ đó đã khuyến nghị sử dụng nhiều trình xác minh độc lập để phê duyệt giao dịch trong hậu quả, tương tự như yêu cầu nhiều chữ ký trên một giao dịch ngân hàng. Một số trong hệ sinh thái đã phản đối khung đó, nói rằng thiết lập mặc định của LayerZero là có một trình xác minh duy nhất.
"Nếu bạn đã xác định một cấu hình là không an toàn, đừng cung cấp nó như một tùy chọn," Schwed nói. "Bảo mật phụ thuộc vào việc mọi người đọc tài liệu và làm đúng là không thực tế."
Hậu quả không chỉ giới hạn ở Kelp. Giống như nhiều hệ thống DeFi, tài sản của nó được sử dụng trên nhiều nền tảng, có nghĩa là các vấn đề có thể lan rộng.
"Những tài sản này là một chuỗi các IOU," Schwed nói. "Và chuỗi chỉ mạnh bằng các kiểm soát trên mỗi liên kết."
Khi một liên kết bị phá vỡ, những liên kết khác bị ảnh hưởng. Trong trường hợp này, các nền tảng cho vay như Aave chấp nhận các tài sản bị ảnh hưởng làm tài sản thế chấp hiện đang đối phó với thiệt hại, biến một lỗ hổng duy nhất thành một sự kiện căng thẳng rộng hơn.
Marketing phi tập trung
Cuộc tấn công cũng phơi bày khoảng cách giữa cách phi tập trung được tiếp thị và cách nó thực sự hoạt động.
"Một trình xác minh duy nhất không phải là phi tập trung," Schwed nói. "Đó là một trình xác minh phi tập trung tập trung."
Urbelis đặt nó rộng hơn.
"Phi tập trung không phải là một thuộc tính mà một hệ thống có. Đó là một loạt các lựa chọn," ông nói. "Và ngăn xếp chỉ mạnh bằng lớp tập trung nhất của nó."
Trên thực tế, điều đó có nghĩa là ngay cả các hệ thống có vẻ phi tập trung cũng có thể có điểm yếu, đặc biệt là trong các lớp ít hiển thị hơn như nhà cung cấp dữ liệu hoặc cơ sở hạ tầng. Đó là nơi kẻ tấn công ngày càng tập trung.
Sự thay đổi đó có thể giải thích cho việc Lazarus nhắm mục tiêu gần đây.
Nhóm đã bắt đầu tập trung vào cơ sở hạ tầng cross-chain và restaking, Urbelis cho biết, các phần của tiền điện tử di chuyển tài sản giữa các hệ thống hoặc cho phép chúng được tái sử dụng.
Những lớp này rất quan trọng nhưng phức tạp, thường nằm bên dưới các ứng dụng hiển thị hơn. Chúng cũng có xu hướng nắm giữ lượng lớn giá trị, khiến chúng trở thành mục tiêu hấp dẫn.
Nếu các làn sóng hack tiền điện tử trước đó tập trung vào sàn giao dịch hoặc lỗi mã rõ ràng, hoạt động gần đây cho thấy sự di chuyển theo hướng có thể được gọi là hệ thống ống nước của ngành, các hệ thống kết nối mọi thứ lại với nhau, nhưng khó giám sát hơn và dễ cấu hình sai hơn.
Khi Lazarus tiếp tục thích ứng, rủi ro lớn nhất có thể không phải là các lỗ hổng chưa biết, mà là những lỗ hổng đã biết không được giải quyết đầy đủ.
Lỗ hổng Kelp không giới thiệu một loại điểm yếu mới. Nó cho thấy hệ sinh thái vẫn bị lộ ra với những điểm yếu quen thuộc như thế nào, đặc biệt là khi bảo mật được coi là khuyến nghị chứ không phải là yêu cầu.
Và khi kẻ tấn công di chuyển nhanh hơn, khoảng cách đó đang trở nên dễ khai thác hơn và đắt đỏ hơn nhiều để bỏ qua.
Đọc thêm: Tin tặc Triều Tiên đang điều hành các vụ cướp lớn do nhà nước tài trợ để điều hành nền kinh tế và chương trình hạt nhân của mình
Nguồn: https://www.coindesk.com/tech/2026/04/20/north-korea-s-crypto-heist-playbook-is-expanding-and-defi-keeps-getting-hit
