在與北韓有關的駭客使用社交工程攻擊加密貨幣交易公司 Drift 後不到三週,與該國有關的駭客似乎又對 Kelp 進行了另一次重大攻擊。
對 Kelp 的攻擊——一個與 LayerZero 跨鏈基礎設施相連的重新質押協議——顯示出與北韓有關的駭客操作方式的演變,不僅僅是尋找漏洞或竊取憑證,而是利用去中心化系統內建的基本假設。
這兩起事件加在一起,指向比一連串一次性駭客攻擊更有組織性的事態,因為北韓持續升級其從加密貨幣領域劫持資金的努力。
ENS Labs 首席資訊安全官兼總法律顧問 Alexander Urbelis 表示:「這不是一系列事件,而是一種節奏。你無法透過修補來擺脫採購時間表。」
在短短兩週多的時間內,透過 Drift 和 Kelp 的攻擊共抽走了超過 5 億美元。
Kelp 如何被攻破
從本質上講,Kelp 的攻擊並不涉及破解加密或破解金鑰。系統實際上按照設計的方式運作。相反,攻擊者操縱了輸入系統的資料,並迫使系統依賴這些被破壞的輸入,導致其批准了從未實際發生的交易。
Urbelis 說:「安全失敗很簡單:經過簽名的謊言仍然是謊言。簽名保證作者身份,但不保證真實性。」
簡單來說,系統檢查了誰發送了訊息,而不是訊息本身是否正確。對於安全專家來說,這使得此次攻擊與其說是關於巧妙的新駭客手法,不如說是利用了系統的設置方式。
區塊鏈安全公司 SVRN 的營運長 David Schwed 說:「這次攻擊不是關於破解密碼學,而是關於利用系統的設置方式。」
一個關鍵問題是配置選擇。Kelp 依賴單一驗證器,本質上是一個檢查器,來批准跨鏈訊息。這是因為設置起來更快更簡單,但它移除了一個關鍵的安全層。
LayerZero 此後建議在事後使用多個獨立驗證器來批准交易,類似於要求銀行轉帳需要多個簽名。生態系統中的一些人反對這種說法,稱 LayerZero 的預設設置就是使用單一驗證器。
Schwed 說:「如果你已經確定某個配置是不安全的,就不要將其作為選項發布。依賴每個人閱讀文件並做對的安全措施是不現實的。」
影響並未僅限於 Kelp。與許多 DeFi 系統一樣,其資產被用於多個平台,這意味著問題可能會擴散。
Schwed 說:「這些資產是一連串的借條。而這條鏈的強度只取決於每個環節的控制措施。」
當一個環節斷裂時,其他環節也會受到影響。在這種情況下,像 Aave 這樣接受受影響資產作為抵押品的借貸平台現在正在處理損失,將單一攻擊變成了更廣泛的壓力事件。
去中心化行銷
這次攻擊也揭露了去中心化的行銷方式與其實際運作方式之間的差距。
Schwed 說:「單一驗證器並非去中心化,它是一個中心化的去中心化驗證器。」
Urbelis 的說法更為廣泛。
他說:「去中心化不是系統具有的屬性,而是一系列選擇。堆疊的強度只取決於其最中心化的層級。」
在實踐中,這意味著即使是看似去中心化的系統也可能存在弱點,特別是在資料提供者或基礎設施等較不明顯的層級。這些層級越來越成為攻擊者關注的焦點。
這種轉變可能解釋了 Lazarus 最近的目標選擇。
Urbelis 說,該組織已開始專注於跨鏈和重新質押基礎設施,即在系統之間轉移資產或允許資產被重複使用的加密貨幣部分。
這些層級至關重要但複雜,通常位於更明顯的應用程式之下。它們也往往持有大量價值,使其成為有吸引力的目標。
如果早期的加密貨幣駭客攻擊專注於交易所或明顯的程式碼缺陷,最近的活動表明轉向了可以稱為產業管道的部分——將所有東西連接在一起的系統,但更難監控且更容易配置錯誤。
隨著 Lazarus 持續適應,最大的風險可能不是未知的漏洞,而是未完全解決的已知漏洞。
Kelp 的攻擊並未引入新型弱點。它顯示了生態系統對熟悉弱點的暴露程度,特別是當安全被視為建議而非要求時。
隨著攻擊者行動加快,這種差距變得更容易利用,也更加難以忽視其代價。
延伸閱讀:北韓駭客正在進行大規模國家資助的搶劫,以維持其經濟和核計劃
來源: https://www.coindesk.com/tech/2026/04/20/north-korea-s-crypto-heist-playbook-is-expanding-and-defi-keeps-getting-hit
