周末从KelpDAO跨链桥中盗取约2.92亿美元的漏洞攻击”很可能”是朝鲜Lazarus组织的工作,特别是其TraderTraitor子部门,LayerZero在周一的初步分析中表示。
攻击详情
攻击者在周六从KelpDAO桥中盗取了116,500 rsETH(一种由质押以太坊支持的流动再质押代币),引发了整个去中心化金融领域的提款潮,从借贷协议Aave中撤出了超过100亿美元资金。
这次攻击带有”高度复杂的国家行为者特征,很可能是朝鲜的Lazarus组织”,LayerZero表示,并特别指出了该组织的TraderTraitor子部门。
单点故障
观察者表示,这次漏洞暴露了该桥是如何被构建为信任单一验证器的。
“无论营销如何称呼它,这都是一个单点故障,”密码安全公司Sodot的联合创始人Shalev Keren告诉Decrypt。
一个被攻破的检查点就足以让资金离开桥接,任何审计或安全审查都无法修复这个缺陷,除非”从架构本身移除单边信任”,Keren说。
根据区块链安全公司Cyvers的分析,攻击者差点在三分钟内再盗取1亿美元,然后快速的黑名单阻止了他们。该操作基于欺骗单一通信渠道,Cyvers首席技术官Meir Dolev告诉Decrypt。
攻击手法
攻击者利用了验证器用于检查Unichain上是否实际发生提款的两条线路,向这些线路输入了假的”是”,然后使剩余线路离线,迫使验证器依赖被攻破的线路。
“保险库没问题。守卫是诚实的。门机制正常工作,”Dolev说。”谎言是直接向那个开口说话的一方耳语的。”
但虽然为被盗桥提供基础设施的LayerZero将Lazarus列为可能的罪魁祸首,Cyvers在其自己的分析中并未做出相同的归因。
一些模式在复杂性、规模和协调执行方面与朝鲜相关的操作相符,Dolev说,但尚未确认与该组织相关的钱包聚类。
恶意节点软件被设计为在攻击完成后自我删除,实时擦除二进制文件和日志以掩盖攻击者的踪迹,并在事后分析中隐藏痕迹,他补充道。
本月早些时候,攻击者从基于Solana的永续协议Drift中盗取了约2.85亿美元,这次漏洞后来被归因于朝鲜操作者。
Dolev指出,Drift黑客攻击”在准备和执行方面非常不同”,但两次攻击都需要长时间的准备、深厚的专业知识和大量资源才能完成。
Cyvers怀疑被盗资金已转移到这个以太坊地址,与链上调查员ZachXBT的单独报告一致,该报告将其与其他四个地址一起标记。根据ZachXBT的说法,攻击地址是通过硬币混合器Tornado Cash获得资金的。
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/04/20/layerzero%e5%b0%862-92%e4%ba%bf%e7%be%8e%e5%85%83kelpdao%e6%a1%a5%e6%8e%a5%e6%94%bb%e5%87%bb%e5%bd%92%e5%92%8e%e4%ba%8e%e6%9c%9d%e9%b2%9clazarus%e7%bb%84%e7%bb%87/
