Menos de três semanas depois que hackers ligados à Coreia do Norte usaram engenharia social para atacar a empresa de comércio de criptografia Drift, hackers ligados ao país parecem ter realizado outra grande exploração com Kelp.
O ataque ao Kelp, um protocolo de reestabelecimento ligado à infra-estrutura cross-chain da LayerZero, sugere uma evolução na forma como os hackers ligados à Coreia do Norte operam, não apenas à procura de bugs ou credenciais roubadas, mas explorando os pressupostos básicos incorporados nos sistemas descentralizados.
Tomados em conjunto, os dois incidentes apontam para algo mais organizado do que uma série de ataques cibernéticos pontuais, à medida que a Coreia do Norte continua a intensificar os seus esforços para sequestrar fundos do setor criptográfico.
“Isto não é uma série de incidentes; é uma cadência”, disse Alexander Urbelis, diretor de segurança da informação e conselheiro geral do ENS Labs. “Você não pode escapar de um cronograma de compras.”
Mais de US$ 500 milhões foram desviados pelas explorações Drift e Kelp em pouco mais de duas semanas.
Como Kelp foi violado
Em sua essência, a exploração do Kelp não envolveu a quebra de criptografia ou quebra de chaves. O sistema realmente funcionou da maneira como foi projetado. Em vez disso, os invasores manipularam os dados que alimentavam o sistema e forçaram-no a confiar nessas informações comprometidas, fazendo com que ele aprovasse transações que nunca ocorreram de fato.
“A falha de segurança é simples: uma mentira assinada continua a ser uma mentira”, disse Urbelis. “As assinaturas garantem a autoria; não garantem a verdade.”
Em termos mais simples, o sistema verificava quem enviou a mensagem, e não se a mensagem em si estava correta. Para os especialistas em segurança, isso significa menos uma questão de um novo hack inteligente e mais uma questão de explorar como o sistema foi configurado.
“Este ataque não teve como objetivo quebrar a criptografia”, disse David Schwed, COO da empresa de segurança blockchain SVRN. “Tratava-se de explorar como o sistema foi configurado.”
Uma questão importante foi a escolha da configuração. Kelp dependia de um único verificador, essencialmente um verificador, para aprovar mensagens entre cadeias. Isso ocorre porque é mais rápido e simples de configurar, mas remove uma camada crítica de segurança.
Desde então, a LayerZero recomendou o uso de vários verificadores independentes para aprovar transações, semelhante a exigir múltiplas assinaturas em uma transferência bancária. Alguns membros do ecossistema rejeitaram esse enquadramento, dizendo que a configuração padrão do LayerZero era ter um único verificador.
“Se você identificou uma configuração como insegura, não a envie como uma opção”, disse Schwed. “A segurança que depende de todos lerem os documentos e acertarem não é realista.”
As consequências não ficaram limitadas às Kelp. Como muitos sistemas DeFi, seus ativos são usados em múltiplas plataformas, o que significa que os problemas podem se espalhar.
“Esses ativos são uma cadeia de IOUs”, disse Schwed. “E a corrente é tão forte quanto os controles de cada elo.”
Quando um link quebra, outros são afetados. Neste caso, plataformas de empréstimo como a Aave, que aceitaram os activos afectados como garantia, estão agora a lidar com perdas, transformando uma única exploração num evento de stress mais amplo.
Marketing de descentralização
O ataque também expõe uma lacuna entre a forma como a descentralização é comercializada e como ela realmente funciona.
“Um único verificador não é descentralizado”, disse Schwed. “É um verificador centralizado e descentralizado.”
Urbelis coloca isso de forma mais ampla.
“A descentralização não é uma propriedade de um sistema. É uma série de escolhas”, disse ele. “E a pilha é tão forte quanto a sua camada mais centralizada.”
Na prática, isso significa que mesmo os sistemas que parecem descentralizados podem ter pontos fracos, especialmente nas camadas menos visíveis, como fornecedores de dados ou infraestruturas. Esses são cada vez mais os focos dos invasores.
Essa mudança pode explicar os recentes ataques de Lazarus.
O grupo começou a se concentrar na infraestrutura de cadeia cruzada e de reestabelecimento, disse Urbelis, as partes da criptografia que movem ativos entre sistemas ou permitem que sejam reutilizados.
Essas camadas são críticas, mas complexas, muitas vezes situadas abaixo de aplicativos mais visíveis. Eles também tendem a deter grandes quantidades de valor, o que os torna alvos atraentes.
Se as ondas anteriores de hacks criptográficos se concentraram em exchanges ou em falhas óbvias de código, a atividade recente sugere um movimento em direção ao que poderia ser chamado de encanamento da indústria, os sistemas que conectam tudo, mas são mais difíceis de monitorar e mais fáceis de configurar incorretamente.
À medida que o Lazarus continua a se adaptar, o maior risco pode não ser as vulnerabilidades desconhecidas, mas sim as conhecidas que não são totalmente abordadas.
A exploração do Kelp não introduziu um novo tipo de fraqueza. Mostrou como o ecossistema permanece exposto a ecossistemas familiares, especialmente quando a segurança é tratada como uma recomendação e não como um requisito.
E à medida que os atacantes se movem mais rapidamente, essa lacuna torna-se mais fácil de explorar e muito mais cara de ignorar.
Leia mais: Hackers norte-coreanos estão realizando assaltos massivos patrocinados pelo Estado para administrar sua economia e programa nuclear
Fonte: Folha SP
