Jak hakerzy skradli 293 mln USD z KelpDAO: schemat ataku przez pojedynczy słaby węzeł
Hakerzy skradli prawie 300 mln USD, wykorzystując fakt, że projekt KelpDAO powierzył całą swoją ochronę jednemu technicznemu węzłowi. To nie był bezpośredni atak na protokół LayerZero — lecz luka w konfiguracji jednego z jego użytkowników. Skutki jednak dotknęły całej ekosystemu DeFi: inwestorzy masowo wyprowadzali środki, a rynek ponownie zastanawiał się, jak bezpieczne są mosty między blockchainami.
Dlaczego jeden węzeł to jak jedna brama do banku
Wyobraź sobie, że budujesz sejf na pieniądze. Zamiast zainstalować trzy zamki od różnych producentów, montujesz tylko jeden — i oddajesz klucz sąsiadowi. Jeśli sąsiad zostanie zmuszony lub popełni błąd, twój sejf zostanie otwarty. Dokładnie tak działała systemowa ochrona KelpDAO.
Protokół LayerZero umożliwia różnym blockchainom „rozmawianie” ze sobą — np. przenoszenie tokenów z Ethereum do Solany. W tym celu wykorzystuje tzw. węzły weryfikujące (verifiers). W idealnym przypadku powinno ich być kilka, niezależnych i rozproszonych na różnych serwerach. Jeśli jeden z nich skłamie, pozostałe go zablokują.
Jednak KelpDAO używał tylko jednego takiego węzła — tego dostarczonego bezpośrednio przez LayerZero. To naruszyło zasadę „nie kładź wszystkich jajek w jedno koszyk”. Hakerzy skorzystali z tej słabości.
Jak przebiegła ataka: kłamstwo, DDoS i zniknięcie śladów
Śledztwo wykazało, że sprawcy działali jak profesjonalni szpiedzy:
- Najpierw uzyskali dostęp do listy serwerów (węzłów RPC), których LayerZero używa do komunikacji.
- Następnie zdobyli kontrolę nad dwoma niezależnymi serwerami na różnych hostingach i zainstalowali na nich złośliwe oprogramowanie.
- Potem te serwery zaczęły wysyłać do systemu fałszywe komunikaty: „oto przekaz tokenów”, choć w rzeczywistości żaden przekaz nie miał miejsca.
- Aby system zdecydowanie skierował się do tych serwerów, hakerzy uruchomili atak DDoS na pozostałe węzły — zalali je fałszywymi zapytaniami, powodując przeciążenie.
- System automatycznie przełączył się na „ciche” i „działające” zhakowane serwery — i uwierzył w kłamstwo.
- Na końcu sprawcy usunęli wszystko: logi, ustawienia, kod złośliwy. Żadnych śladów.
W rezultacie hakerzy uzyskali 116 500 tokenów rsETH (Restaked ETH) — rodzaj „wzmocnionej” wersji Ethera stosowanej w systemach powtórnego stakingu. Następnie zastawili te tokeny na platformie Aave V3 i wzięli pożyczki w wETH. Platforma Aave zaakceptowała zastaw jako prawdziwy, choć aktywa zostały już skradzione. Powstała w ten sposób niezabezpieczona zadłużoność — i panika wśród użytkowników.
Korea Północna? Możliwe, ale bez dowodów
Zespół LayerZero stwierdził, że atak najprawdopodobniej przeprowadziła grupa Lazarus — znana organizacja hakerska z Korei Północnej. Jej pododdział TraderTraitor specjalizuje się w kradzieży kryptowalut. Analitycy jednak podkreślają: bezpośrednich dowodów na tę powiązaną nie ma. Jest to przypuszczenie oparte na stylu ataku i metodach maskowania.
Ważne: nawet jeśli chodzi o Lazarus, podatność wyniknęła nie z kodu LayerZero, lecz z konfiguracji KelpDAO. Sam protokół nie został zhakowany — po prostu został niepoprawnie wykorzystany.
Co jest ważne
- KelpDAO korzystał tylko z jednego węzła weryfikującego, co naruszyło podstawową zasadę bezpieczeństwa DeFi.
- Hakerzy przeprowadzili wieloetapowy atak: zdobycie dostępu do serwerów + atak DDoS + podmiana danych + kasowanie śladów.
- Skradziono 116 500 rsETH, co odpowiada około 293 mln USD według cen rynkowych.
- Atak nie wpłynął na inne projekty oparte na LayerZero — problem był lokalny, ale wywołał systemowy strach.
- LayerZero został przywrócony, ale zaufanie do mostów tymczasowo ucierpiało.
Co to oznacza dla zwykłych użytkowników?
Jeśli trzymasz środki w protokołach DeFi — zwłaszcza nowych lub mało znanych — warto sprawdzić: jak dobrze rozproszona jest ich ochrona? Czy korzystają z kilku niezależnych źródeł weryfikacji? Większość dużych platform robi to obecnie poprawnie — ale nie wszystkie.
Ponadto takie ataki przypominają: nawet jeśli technologia działa doskonale, ludzki błąd (w konfiguracji, w wyborze parametrów) może zepsuć wszystko. Rynek kryptowalut dojrzewa — ale ryzyka pozostają, szczególnie tam, gdzie się spieszy z wdrażaniem nowości, nie sprawdzając podstaw.
— Editorial Team