Når en enkelt forkert konfigureret signatur er alt, hvad der skal til for at skabe tokens til en værdi af 292 millioner dollars fra ingenting, ser hele præmissen for tillidsløs finansiering meget mere usikker ud, end navnet antyder.

Hvordan angrebet fungerede

Den 18. april 2026 udnyttede en angriber en sårbarhed i KelpDAOs cross-chain bridge – drevet af LayerZero – til at dræne 116,500 rsETH-tokens til en værdi af cirka 292 millioner dollars. Det er omkring 18% af rsETHs samlede cirkulerende forsyning, fremkaldt af en fejl, der ikke lå i selve LayerZeros protokol, men i hvordan Kelp havde konfigureret den.

Opsætningen var baseret på et enkelt verifikationspunkt til at godkende cross-chain-beskeder. Angriberen fandt det, udnyttede det, og en besked gik igennem, som ikke burde være gået igennem. "Én signatur og 116,500 rsETH materialiserede sig ud af den blå luft på Ethereum," som forskere senere beskrev det. Disse tokens blev derefter brugt som sikkerhed for at låne reelle aktiver - primært fra Aave - og drænet, før protokollen kunne sættes på pause.

Lazarus Groups fingeraftryk

Inden for tre dage efter bruddet, blockchain-analysefirmaet Chainalysis tilskrev angrebet til Nordkoreas Lazarus Group, baseret på mixerbrugsmønstre og metoder til kapitalspredning, der matcher gruppens kendte driftsstil. Tilskrivningen er i overensstemmelse med Lazarus' historik med at målrette DeFi-protokoller - de har været de mest produktive on-chain-tyve i flere år.

Tabets omfang gør det til det største DeFi-angreb i 2026 og overgår Drift-hacket med et par millioner dollars. De samlede DeFi-tab i år har nu passeret 770 millioner dollars på tværs af mere end 30 hændelser - et tal, der er svært at vurdere som en voksende industris smerte.

DeFi redder

Det, der fulgte, var, afhængigt af dit perspektiv, enten en bemærkelsesværdig demonstration af koordinering eller en påmindelse om, at sikkerhedsnettet i DeFi er helt uformelt.

Aave sammensatte en koalition kaldet "DeFi United", der inddrog Lido Finance, EtherFi og andre større protokoller for at fremlægge ETH for at dække underskuddet i Aaves udlånspuljer. Den 21. april indefrøs Arbitrums Network Security Council 30,766 ETH - cirka 71 millioner dollars - tilhørende angriberen og genvandt omkring 25% af de stjålne aktiver. Standard Chartered offentliggjorde en note, der kaldte sektorens reaktion et tegn på modstandsdygtighed. Det bredere kryptosamfund var mindre afmålt, med nogle erklærer DeFi død kategorisk.

Hvad skal ændres

CoinDesks post mortem-analyse, der blev offentliggjort lørdag, peger på cross-chain-broer som DeFi's mest vedvarende svage led - et problem, som branchen har været opmærksom på siden udnyttelsen af ​​Wormhole- og Ronin-broerne år tidligere. Mønsteret er konsistent: brokompleksitet skaber angrebsflader, og incitamenterne til hurtigt at levere har en tendens til at overgå incitamenterne til omhyggelig revision.

Det mest ubehagelige ved denne hændelse er, at det ikke var en sofistikeret zero-day-hændelse. Det var en konfigurationsfejl. LayerZeros infrastruktur fungerede som designet - problemet var, hvordan Kelp implementerede den. Det er et meget sværere problem at løse med revisioner alene, fordi det betyder, at enhver protokol, der bruger delt infrastruktur, ikke kun skal verificere koden, men alle parametre, der styrer, hvordan cross-chain-meddelelser er betroede og validerede.

KelpDAO og Aave arbejder stadig på genopretningen. Lazarus Group har i mellemtiden anslået aktiver til en værdi af 292 millioner dollars, der skal hvidvaskes. Nogle ting i krypto bevæger sig hurtigere end andre.

---------------

Forfatter: Ryan Gardner
Silicon Valley News Desk

Glædelig aprilsnar ... Dine 280 millioner dollars er væk. Virkelig. 

Den 1. april blev 280 millioner dollars drænet fra den Solana-baserede DeFi-platform Drift Protocols konti, i hvad blockchain-sikkerhedsfirmaet Elliptic siger bærer alle kendetegnene for en nordkoreansk statsstøttet operation. Angrebet var ingen spøg - og for Drifts brugere var det så langt fra sjovt, som det kan blive.

Det, der gjorde denne teknisk bemærkelsesværdig, var angrebsvektoren. I stedet for et simpelt angreb eller de social engineering-tricks, som nordkoreanske hackere er kendt for, misbrugte de påståede angribere en Solana-funktion kaldet en durable nonce - en mekanisme designet til at forhindre timeouts for transaktioner. rapportering fra Fortune, brugte angriberen denne mekanisme til at narre Drifts Sikkerhedsråd til at forhåndsgodkende transaktioner, der først ville blive udført uger senere - og plantede dermed effektivt en tidsbombe i protokollens eget administrative lag.

Drift bekræftede hændelsen i et opslag på X, hvor hun beskrev, hvordan "en ondsindet aktør fik uautoriseret adgang til Drift Protocol gennem et nyt angreb, der involverede varige nonceangreb, hvilket resulterede i en hurtig overtagelse af Drifts Sikkerhedsråds administrative beføjelser." Platformen suspenderede øjeblikkeligt ind- og udbetalinger for alle brugere.

Nordkoreas kryptokriminalitetsrække fortsætter

Elliptics tilskrivning stemmer overens med et nu veletableret mønster. Nordkorea var ansvarlig for stjålne kryptovalutaer for omkring 2 milliarder dollars i løbet af 2025 - omkring 60% af alle digitale aktiver stjålet globalt det år, ifølge blockchain-analysefirmaet Chainalysis. Landets mest frække job var det påståede hacking af kryptobørsen Bybit til en værdi af 1.5 milliarder dollars i begyndelsen af ​​2025, stadig det største enkeltstående kryptotyveri nogensinde.

Nordkoreanske hackere bruger typisk social engineering – de opbygger falske identiteter, infiltrerer teams og manipulerer insidere til at udlevere legitimationsoplysninger. Drift-angrebet repræsenterer noget andet: et tålmodigt, teknisk sofistikeret angreb, der brugte platformens egen sikkerhedsinfrastruktur som et våben mod angriberen. Angriberen brød ikke døren op. De overtalte nogen indeni til at lade den være ulåst.

Hvem er Drift?

Drift Protocol blev grundlagt i 2021 af Cindy Leow og David Lu. Det tilbyder perpetual futures og andre handelsprodukter på Solana og havde akkumuleret over 400 millioner dollars i samlede indskud før angrebet. Dette tal er nu betydeligt anderledes. Platformen har endnu ikke offentliggjort en detaljeret tidsplan for genoptagelse af normal drift.

Drift-hacket er en påmindelse om, at DeFis sikkerhedsmodel – som er afhængig af multisig-råd, on-chain-styring og community-holdte administrative nøgler – kun er så stærk som de mennesker og processer, der ligger bag den. En holdbar nonce er ikke en fejl; det er en funktion. Men funktioner kan gøres til et våben, og Nordkoreas påståede hackere ser ud til at have studeret Solanas mekanik omhyggeligt nok til at gøre netop det.

For det bredere Solana-økosystem kunne timingen ikke være værre. Netværket har brugt det meste af to år på at positionere sig som det foretrukne institutionelle DeFi-lag. Et kup på 280 millioner dollars - angiveligt overdraget til et regime under internationale sanktioner - ser ikke godt ud, uanset hvilken kæde udnyttelsen foregik på.

---------------

Forfatter: Cedric Holloway
New York Newsroom