LayerZero relaciona o hack do KelpDAO ao grupo Lazarus

A ponte cross-chain do KelpDAO foi esvaziada em 292 milhões de dólares em um final de semana. Um ataque de precisão cirúrgica, atribuído pela LayerZero ao temido grupo Lazarus da Coreia do Norte. No entanto, por trás desse hack espetacular, esconde-se uma falha de design que ninguém quis corrigir.

Um ataque de ourives assinado Lazarus

No último sábado, atacantes retiraram 116.500 rsETH, um token de restaking líquido lastreado em ether em staking, da ponte cross-chain do KelpDAO.

O valor roubado gira em torno de 292 milhões de dólares. Já na segunda-feira, LayerZero publicou uma análise preliminar apontando o grupo norte-coreano Lazarus, e mais precisamente sua subunidade TraderTraitor, como “provavelmente” responsável.

TraderTraitor não é desconhecido. A comunidade cripto reconhece esse grupo como o ator norte-coreano mais sofisticado em ataques a criptomoedas. Seu histórico fala por si: ele comprometeu, entre outros, a ponte Ronin da Axie Infinity e a exchange indiana WazirX.

O Escritório Geral de Reconhecimento da Coreia do Norte supervisiona todas essas operações cibernéticas e abriga várias unidades especializadas, incluindo APT38 e DangerousPassword.

A técnica empregada aqui foi de uma elegância temível. Os hackers não quebraram a ponte. Eles enganaram seu guardião. Concretamente, interceptaram duas das linhas usadas pelo verificador da ponte para confirmar as retiradas na Unichain, forneceram um falso sinal de aprovação e desativaram as outras linhas, forçando o sistema a confiar apenas nos dados corrompidos.

“O cofre estava intacto. O guardião era honesto. O mecanismo da porta funcionava corretamente“, resume Meir Dolev, diretor técnico da Cyvers. “A mentira foi sussurrada diretamente à pessoa cuja palavra abriu a porta.”

Uma falha arquitetônica anunciada, ignorada

Esse hack revela principalmente um erro flagrante de design. KelpDAO usava apenas um verificador para aprovar as transferências de entrada e saída de sua ponte. A LayerZero afirma ter “exortado repetidamente” o protocolo a adotar vários verificadores. Em vão.

Shalev Keren, cofundador da empresa de segurança Sodot, é direto: “Era um ponto único de falha, não importa como o marketing o apresente.” Um único ponto de controle comprometido foi suficiente para esvaziar a ponte. Nenhuma auditoria poderia ter fechado essa brecha sem questionar a própria arquitetura.

Haoze Qiu, responsável por blockchain na Grvt, vai além e aponta uma responsabilidade compartilhada: “KelpDAO parece ter aceitado uma configuração de segurança com redundância insuficiente para um ativo dessa magnitude“, e LayerZero “também tem uma parcela de responsabilidade”, pois o ataque envolveu uma infraestrutura ligada ao seu conjunto de validadores.

As consequências foram imediatas. As retiradas massivas de rsETH forçaram o protocolo Aave a congelar seus mercados ligados a esse token, causando uma escassez de liquidez que retirou mais de 10 bilhões de dólares do protocolo. 

Além disso, os hackers quase roubaram 100 milhões adicionais em três minutos, antes de serem parados por uma lista negra de emergência. Por fim, o software malicioso usado se apagou automaticamente após a operação, deletando arquivos e logs.

Esse hack faz parte de uma sequência negativa: em fevereiro de 2025, Lazarus roubou 1,4 bilhão de dólares da Bybit, o maior hack cripto da história. No início do mês, 285 milhões de dólares desapareceram do protocolo Drift na Solana. A DeFi continua sendo um alvo preferido de Pyongyang, e enquanto a segurança das pontes cross-chain não se tornar uma prioridade absoluta, esses ataques continuarão causando estragos.