攻击者据称毒化了RPC节点,并利用Kelp DAO的单验证器1/1 DVN桥接设置来批准欺诈性跨链消息。与此同时,以太坊名称服务网关eth.limo表示其最近的域名劫持事件是由针对提供商easyDNS的社会工程攻击引起的,攻击者冒充团队成员获取账户访问权限并修改DNS设置。
拉撒路集团再次出手…
LayerZero发布了关于近期Kelp DAO漏洞利用的初步调查结果。该公司将此次攻击归因于其描述为高度复杂的国家支持威胁行为者,很可能是朝鲜的拉撒路集团,特别是被称为TraderTraitor的子组。
该事件发生在4月18日,当时Kelp DAO的LayerZero驱动的跨链桥被攻破。这导致损失了116,500枚rsETH代币,价值约2.92亿美元。到目前为止,这是今年最大的去中心化金融漏洞利用事件。
根据LayerZero的说法,攻击者获得了LayerZero Labs去中心化验证器网络(DVN)使用的RPC节点列表,这是一个负责验证跨链消息的独立实体系统。据称其中两个节点被毒化,这使得它们能够向DVN传输欺诈性消息。
与此同时,攻击者对未受影响的节点发起了分布式拒绝服务攻击,增加了网络依赖恶意节点的可能性。伪造的消息最终被接受,因为Kelp DAO将其桥接配置为使用单1-of-1 DVN设置。
这意味着没有二级验证器来检测或拒绝欺诈性交易。LayerZero表示,这种冗余性的缺乏造成了单点故障。
有趣的是,LayerZero此前曾建议Kelp DAO多样化其DVN配置。尽管有这些建议,Kelp DAO选择继续使用1/1模型运营。
LayerZero解释说,该漏洞利用仅限于Kelp DAO,并未影响使用其基础设施的其他资产或应用程序。该公司表示,LayerZero Labs DVN保持完全可操作,使用多DVN安全设置的项目可以继续放心运营。
作为对该事件的回应,LayerZero宣布将不再为使用1/1 DVN配置的应用程序签署消息。该公司还表示正在与多个执法机构合作,并积极追踪被盗资金。
eth.limo劫持由社会工程引起
与此同时,以太坊名称服务网关eth.limo披露,周五的域名劫持事件是由针对其域名服务提供商easyDNS的社会工程攻击引起的。
在周六发布的事后分析中,eth.limo解释说,攻击者冒充其团队成员之一,并与easyDNS启动了账户恢复流程。据称该欺诈性恢复请求使攻击者获得了eth.limo账户的访问权限,从而能够修改关键域名设置。
攻击者随后更改了名称服务器记录,并将它们重定向到Cloudflare控制的基础设施。一旦问题被确认为DNS劫持,eth.limo表示立即向社区发出警报,并联系了以太坊联合创始人Vitalik Buterin。该公司还联系了easyDNS开始协调响应。
在事件期间,Buterin警告用户避免通过受影响的门户访问他的个人博客,直到问题解决。Eth.limo为使用.eth域名系统的大约200万个去中心化网站提供访问,这使其成为用户通过标准网络浏览器浏览基于以太坊的网站的重要接入点。
如果成功被武器化,对该服务的控制可能允许攻击者将访问者重定向到钓鱼页面或包含恶意软件的网站。然而,eth.limo和easyDNS都表示,域名系统安全扩展(DNSSEC)限制了损害。
DNSSEC为DNS记录添加了加密验证,由于攻击者没有所需的签名密钥,他们无法为伪造的DNS响应创建有效签名。因此,许多DNS解析器拒绝了被操纵的记录,导致用户看到错误而不是恶意重定向。
Eth.limo表示,缺失的签名密钥可能减少了攻击的整体影响,并补充说目前没有意识到任何用户受到伤害。该公司表示,如果评估发生变化,将提供更新。
EasyDNS首席执行官Mark Jeftovic公开接受了对此事件的责任,表示公司犯了错误并将承担责任。他将此次入侵描述为该公司28年历史中首次成功的社会工程攻击,尽管之前有许多尝试。
事件发生后,easyDNS表示已经开始实施安全更改,以防止未来发生类似攻击。
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/04/20/kelp-dao%e9%bb%91%e5%ae%a2%e6%94%bb%e5%87%bb%e6%ba%af%e6%ba%90%e8%87%b3%e6%8b%89%e6%92%92%e8%b7%af%e9%9b%86%e5%9b%a2%ef%bc%9a%e5%ae%89%e5%85%a8%e6%8a%a5%e5%91%8a%e6%8f%ad%e7%a4%ba%e6%94%bb%e5%87%bb/
