Oltre 500 milioni di dollari sottratti in poco più di due settimane attraverso gli exploit di Drift e Kelp, in quella che gli esperti definiscono una campagna statale organizzata.
Lazarus Group, il collettivo di hacker legato alla Corea del Nord, ha colpito nuovamente il settore DeFi con l’exploit di Kelp, un protocollo di restaking integrato nell’infrastruttura cross-chain di LayerZero. L’attacco è avvenuto a meno di tre settimane dalla compromissione di Drift, la piattaforma di trading crypto, anch’essa attribuita ad hacker nordcoreani. Complessivamente, i due incidenti hanno sottratto oltre 500 milioni di dollari in poco più di due settimane.
L’attacco a Kelp non ha richiesto la violazione della crittografia. Gli aggressori hanno manipolato i dati in ingresso al sistema, inducendolo ad approvare transazioni mai realmente avvenute. “Il fallimento di sicurezza è semplice: una bugia firmata è comunque una bugia”, ha dichiarato Alexander Urbelis, CISO e consigliere generale di ENS Labs. “Le firme garantiscono la paternità, non la veridicità.” In sostanza, il sistema verificava chi inviava il messaggio, non se il contenuto fosse corretto.
Un elemento centrale della violazione è stata una scelta di configurazione: Kelp si affidava a un singolo verificatore per approvare i messaggi cross-chain, una soluzione più rapida ma priva di un livello critico di sicurezza. “Questo attacco non riguardava la crittografia”, ha spiegato David Schwed, COO della società di sicurezza blockchain SVRN. “Riguardava come il sistema era stato configurato.” LayerZero ha successivamente raccomandato l’uso di più verificatori indipendenti, analogamente alla richiesta di firme multiple su un bonifico bancario. Schwed ha però contestato questa posizione: “Se hai identificato una configurazione come non sicura, non renderla un’opzione disponibile.”
Le conseguenze dell’exploit non si sono limitate a Kelp. Piattaforme di prestito come Aave, che accettavano gli asset colpiti come collaterale, si trovano ora esposte a perdite potenzialmente significative. Il report di Aave delinea due scenari: circa 123 milioni di dollari di perdite se il danno viene distribuito su tutti i detentori di rsETH, oppure fino a 230 milioni di dollari se confinato ai Layer 2. Arbitrum ha nel frattempo congelato 71 milioni di dollari in ether legati all’exploit.
L’evoluzione della strategia del Lazarus Group – dal social engineering utilizzato contro exchange come Kraken allo sfruttamento delle debolezze strutturali della DeFi – indica che la principale minaccia non proviene da vulnerabilità sconosciute, ma da quelle già note e non adeguatamente affrontate. Come osserva Schwed: “La sicurezza che dipende dal fatto che tutti leggano la documentazione e la applichino correttamente non è realistica.”
