朝鲜的加密货币盗窃策略正在不断扩展，DeFi 持续遭受打击

在与朝鲜有关联的黑客利用社会工程手段攻击加密货币交易公司 Drift 不到三周后，与该国有关联的黑客似乎又利用 Kelp 成功实施了另一次重大攻击。

Kelp 是 LayerZero 跨链基础设施中的一个重新质押协议，它遭受的攻击表明，与朝鲜有关的黑客的行动方式正在发生演变，他们不仅寻找漏洞或被盗凭证，而且还利用去中心化系统中内置的基本假设。

综合来看，这两起事件表明，朝鲜正在不断加大力度，试图从加密货币领域窃取资金，这比一系列零星的黑客攻击更有组织性。

ENS Labs首席信息安全官兼总法律顾问亚历山大·乌尔贝利斯表示：“这不是一系列事件，而是一个循序渐进的过程。你不可能通过打补丁来逃避采购计划。”

短短两周多时间，就有超过 5 亿美元通过 Drift 和 Kelp 的非法活动被转移。

Kelp是如何被入侵的

从本质上讲，Kelp漏洞利用并不涉及破解加密或密钥。系统本身并没有按照设计的方式运行。攻击者篡改了输入系统的数据，迫使系统依赖这些被篡改的输入，从而导致系统批准了实际上从未发生的交易。

“安全漏洞很简单：签名后的谎言仍然是谎言，”乌尔贝利斯说。“签名只能保证作者身份，并不能保证真相。”

简单来说，系统检查的是消息的发送者，而不是消息本身是否正确。对于安全专家而言，这与其说是一种巧妙的新型黑客攻击，不如说是利用了系统本身的漏洞。

“这次攻击的目的并非破解密码学，”区块链安全公司SVRN的首席运营官大卫·施韦德表示，“而是利用系统设置的漏洞。”

一个关键问题在于配置选择。Kelp 依赖于单个验证器（本质上是一个检查器）来批准跨链消息。这是因为这样设置起来更快更简单，但却移除了一个至关重要的安全层。

LayerZero随后建议在后续流程中使用多个独立验证者来批准交易，类似于银行转账需要多个签名。但生态系统中的一些成员对此说法提出异议，指出LayerZero的默认设置是只有一个验证者。

施韦德说：“如果你发现某个配置不安全，就不要把它作为选项发布。指望每个人都阅读文档并正确操作是不现实的。”

此次事件的影响并不局限于Kelp。与许多DeFi系统一样，其资产被跨多个平台使用，这意味着问题可能会蔓延。

施韦德说：“这些资产就像一连串的欠条。而这条链的强度取决于每个环节的控制力度。”

当一个环节出现问题时，其他环节也会受到影响。在这种情况下，像Aave这样接受了受影响资产作为抵押品的借贷平台现在正面临损失，使得一次单一的漏洞利用事件演变成一场范围更广的压力事件。

这次攻击也暴露了去中心化在宣传和实际运作方式上的差距。

施韦德说：“单一验证者并非去中心化，而是一个中心化的去中心化验证者。”

乌尔贝利斯的说法更为宽泛。

“去中心化并非系统固有的属性，而是一系列的选择，”他说道。“整个技术栈的强度取决于其最中心化的层。”

实际上，这意味着即使看似去中心化的系统也可能存在薄弱环节，尤其是在数据提供商或基础设施等不太显眼的层面。这些层面正日益成为攻击者关注的焦点。

这种转变或许可以解释拉扎勒斯最近的目标选择。

Urbelis表示，该团队已开始专注于跨链和重新质押基础设施，即加密货币中在系统之间转移资产或允许资产重复使用的部分。

这些层级至关重要，但结构复杂，通常位于更显眼的应用层之下。它们往往蕴含着巨大的价值，因此也成为了极具吸引力的攻击目标。

如果说早期的加密货币黑客攻击主要集中在交易所或明显的代码缺陷上，那么最近的活动表明，攻击目标正转向所谓的行业“管道”，即连接一切的系统，但这些系统更难监控，也更容易配置错误。

随着 Lazarus 不断调整，最大的风险可能不是未知的漏洞，而是已知但尚未完全解决的漏洞。

Kelp漏洞并没有引入一种新的安全漏洞。它只是表明，该生态系统仍然很容易受到常见漏洞的攻击，尤其是在安全被视为建议而非强制要求的情况下。

随着攻击者行动速度加快，这个漏洞不仅更容易被利用，而且忽视它的代价也越来越高。