Hvordan Nordkorea stjal 292 millioner dollars fra DeFis VVS-firma
DeFi havde en hård uge - og når jeg siger hård, mener jeg hård "næsten-eksistentiel-krise". Den 18. april udnyttede angribere, der senere blev identificeret som Nordkoreas Lazarus Group, Kelp DAO's cross-chain bridge til at dræne 116,500 rsETH til en værdi af cirka 292 millioner dollars. Inden for 48 timer havde chokbølgen slettet mere end 13 milliarder dollars i samlet værdi, der var låst fast på tværs af decentraliseret finans.
Det er det største DeFi-udnyttelse i 2026, og det afslørede en sårbarhed, som branchen er blevet advaret om i årevis.
Hvad der faktisk skete
Roden til udnyttelsen var pinligt simpel i konceptet, selvom den var teknisk sofistikeret i udførelsen. Kelp DAO's bro var afhængig af LayerZero til cross-chain messaging - men den var konfigureret med en 1-af-1 verifikator, hvilket betyder, at en enkelt node var ansvarlig for at validere alle cross-chain messaging, før midlerne kunne flyttes.
Lazarus behøvede ikke at knække verifikatoren direkte. I stedet kompromitterede gruppen to RPC-noder (Remote Procedure Call), der sendte data til verifikatoren. Med disse noder under deres kontrol injicerede de falske cross-chain-beskeder gennem LayerZero og narrede broen til at frigive midler, som den aldrig burde have rørt. ifølge CoinDesk, den stjålne rsETH spredte sig på tværs af mere end 20 blockchain-netværk, hvilket gjorde hurtig inddæmning næsten umulig.
1-af-1-opsætningen er det kritiske fejlpunkt. En konfiguration med flere validatorer ville have krævet, at angriberen kompromitterede flere uafhængige noder samtidigt - et dramatisk vanskeligere løft. I stedet kollapsede et enkelt fejlpunkt under en velfinansieret nationalstatslig hackingoperation.
Fallout: En nærdødsoplevelse for DeFi
Da rsETH fungerede som sikkerhed på tværs af protokoller på flere lag 2-netværk, forblev skaden ikke begrænset til Kelp DAO. Aave, SparkLend og Fluid handlede hurtigt for at indefryse aktivet, men ikke før det bredere marked reagerede. Alene Aave oplevede en udfasning af indlån på 8.45 milliarder dollars over 48 timer.
Sektorens samlede værdi faldt med mere end 13 milliarder dollars på to dage. Crypto.news rapporterede at april 2026 nu er den værste måned for kryptohacks siden Bybit-bruddet på 1.4 milliarder dollars i februar 2025, med over 606 millioner dollars tabt over 18 dage.
I et koordineret svar slog Aave-grundlæggeren Stani Kulechov sig sammen med Lido Finance og EtherFi for at foreslå at dække underskuddet ved hjælp af etherreserver - en usædvanlig demonstration af samarbejde på tværs af protokoller, der muligvis har forhindret en bredere kaskade af dårlig gæld.
LayerZero har formelt tilskrevet angrebet til TraderTraitor, Lazarus-undergruppen, der er ansvarlig for nogle af de mest lukrative kryptokup i de senere år, herunder Ronin Bridge-angrebet i 2022 og Bybit-børshakket tidligere på året.
Hvad dette betyder for brosikkerhed
Hvis Kelp DAO-angrebet beviser noget, er det, at kryptobroer fortsat er branchens farligste angrebsflade. Næsten alle større protokolhack i nyere tid har udnyttet det samme grundlæggende problem: en cross-chain-besked, der var pålidelig, når den ikke burde have været det.
Løsningen er ikke kompliceret i teorien. Opsætninger med flere validatorer, decentraliserede RPC-nodenetværk og uafhængige sikkerhedsrevisioner af broinfrastruktur ville alle hæve barren betydeligt. Udfordringen er, at det at gå på kompromis med infrastrukturen ofte bliver rationaliseret som en "hurtig" beslutning - indtil en nationalstat med ubegrænset tålmodighed beslutter sig for at udnytte det.
DeFis genopretning efter dette hackerangreb ser ud til at være håndterbar. Aaves sikkerhedsmodul holdt, protokollerne blev koordineret hurtigt, og ingen større platforme ser ud til at være kollapset. Men sektoren absorberede et chok på 13 milliarder dollars på 48 timer. Den næste bro, der kører en 1-ud-af-1-verifikator, er måske ikke så heldig.
---------------
Forfatter: Ryan Gardner
Silicon Valley News Desk
Ingen kommentarer
Send en kommentar