Jak hackerská skupina ukradla 293 milionů dolarů KelpDAO: útok prostřednictvím jediného slabého uzlu
Hackeři ukradli téměř 300 milionů dolarů, využili toho, že projekt KelpDAO svěřil bezpečnost celého systému jedinému technickému uzlu. Nešlo o napadení samotného protokolu LayerZero — spíše o chybu v konfiguraci jednoho z jeho uživatelů. Důsledky však postihly celou ekosystém DeFi: investoři začali hromadně vybírat prostředky a trh se znovu zamyslel nad tím, jak spolehlivé jsou mosty mezi blockchainy.
Proč jeden uzel připomíná jediný vchod do banky
Představte si, že stavíte trezor pro peníze. Místo toho, abyste namontovali tři zámky od různých výrobců, nainstalujete jen jeden — a klíč předáte sousedovi. Pokud bude soused pod tlakem nebo udělá chybu, váš trezor bude otevřen. Přesně tak fungovala bezpečnostní architektura KelpDAO.
Protokol LayerZero umožňuje různým blockchainům „komunikovat“ mezi sebou — například převádět tokeny z Ethereum na Solanu. K tomu využívá tzv. ověřovací uzly (verifiers). V ideálním případě by jich mělo být několik, navzájem nezávislých a rozmístěných na různých serverech. Pokud jeden z nich lže, ostatní ho překryjí.
KelpDAO však používal pouze jeden takový uzel — ten, který poskytl sám LayerZero. Tím porušil zásadu „neukládejte všechna vejce do jednoho koše“. A právě toho se hackeři chytili.
Jak proběhl útok: lež, DDoS a zmizení stop
Vyšetřování ukázalo, že pachatelé jednali jako profesionální špióni:
- Nejprve získali přístup ke seznamu serverů (RPC-uzlů), které LayerZero používá ke komunikaci.
- Poté napadli dva nezávislé servery na různých hostingových platformách a nainstalovali na ně škodlivý software.
- Následně tyto servery začaly systému posílat falešnou zprávu: „tady je převod tokenů“, i když žádný převod ve skutečnosti neproběhl.
- Aby se systém obrátil přesně na tyto servery, spustili hackeři DDoS-útok na zbývající uzly — zaplavili je falešnými požadavky a způsobili jejich přetížení.
- Systém se automaticky přepnul na „tiché“ a „fungující“ napadené servery — a uvěřil lži.
- Nakonec pachatelé vše smazali: logy, nastavení i škodlivý kód. Žádné stopy nezůstaly.
Výsledkem bylo, že hackeři získali 116 500 tokenů rsETH (Restaked ETH) — což je jakási „posílená“ verze etheru používaná v systémech opakovaného stakingu. Poté tyto tokeny zastavili na platformě Aave V3 a získali úvěry ve wETH. Platforma Aave přijala zástavu jako platnou, i když byl aktivum již ukraden. To vytvořilo nezajištěnou pohledávku — a paniku mezi uživateli.
Severní Korea? Možná, ale bez důkazů
Tým LayerZero uvedl, že útok pravděpodobně provedla skupina Lazarus — známá hackerská organizace ze Severní Koreje. Její divize TraderTraitor se specializuje na krádeže kryptoměn. Analytici však zdůrazňují: přímé důkazy této vazby zatím chybí. Jde o dohad založený na stylu útoku a metodách maskování.
Důležité: i kdyby za útokem stála skupina Lazarus, zranitelnost nevznikla v kódu LayerZero, ale v konfiguraci KelpDAO. Samotný protokol nebyl napaden — byl prostě nesprávně použit.
Co je důležité
- KelpDAO používal pouze jeden ověřovací uzel, čímž porušil základní bezpečnostní princip DeFi.
- Hackeři provedli vícekrokový útok: napadení serverů + DDoS + podvržení dat + smazání stop.
- Bylo ukradeno 116 500 rsETH, což odpovídá přibližně 293 milionům dolarů za tržní cenu.
- Útok se nedotkl jiných projektů na LayerZero — problém byl lokální, ale vyvolal systémový strach.
- LayerZero byl obnoven, avšak důvěra k mostům je dočasně podkopána.
Co to znamená pro běžné lidi?
Pokud držíte prostředky v DeFi-protokolech, zejména v nových nebo málo známých, měli byste zkontrolovat: jak je daný protokol bezpečnostně rozprostřen? Používá více nezávislých zdrojů ověřování? Většina velkých platforem to dnes dělá správně — ale ne všechny.
Kromě toho takové útoky připomínají: i když technologie funguje dokonale, lidská chyba (v konfiguraci, výběru parametrů) může vše zkazit. Kryptotrhy dospívají — ale rizika zůstávají, zejména tam, kde se spěchá s nasazením nových řešení bez důkladného ověření základů.
— Editorial Team