Default
Door Remote - 20 Apr 2026
In het kort
Aanvallers hebben zaterdag ongeveer $ 292 miljoen uit de kettingbrug van KelpDAO gehaald.
LayerZero, dat de kapotte brug van energie voorzag, koppelde de hack aan de Noord-Koreaanse Lazarus Group.
De brug zelf was niet kapot, maar aanvallers beschadigden het kanaal en verifieerden het, zo kreeg Decrypt te horen.
De exploit die afgelopen weekend ongeveer 292 miljoen dollar uit de cross-chain brug van KelpDAO heeft geput, was “waarschijnlijk” het werk van de Noord-Koreaanse Lazarus Group, met name de TraderTraitor-subeenheid, zei LayerZero maandag in een voorlopige analyse.
Aanvallers hebben zaterdag 116.500 rsETH, een liquide heropname-token ondersteund door ingezette ether, van de KelpDAO-brug gehaald, wat opnames in de gedecentraliseerde financiële sector veroorzaakte die meer dan $10 miljard uit het kredietprotocol Aave haalde.
De aanval droeg de kenmerken van “een zeer geavanceerde staatsacteur, waarschijnlijk de Lazarus Group van de DVK”, zei LayerZero, waarbij hij de TraderTraitor-subeenheid van de groep specificeerde.
De cyberoperaties van Noord-Korea vallen onder het Reconnaissance General Bureau, dat verschillende eenheden huisvest, waaronder TraderTraitor, AppleJeus, APT38 en DangerousPassword, volgens een analyse van Paradigm-onderzoeker Samczsun.
https://t.co/3vIHs3Xgs4
— LayerZero (@LayerZero_Core) 20 april 2026
Van deze subeenheden wordt TraderTraitor aangemerkt als de meest geavanceerde Noord-Koreaanse actor die zich op cryptovaluta richt, eerder gekoppeld aan de compromissen Axie Infinity Ronin Bridge en WazirX.
LayerZero zei dat KelpDAO één enkele verificateur had gebruikt om overdrachten in en uit de brug goed te keuren, en voegde eraan toe dat het KelpDAO herhaaldelijk had aangespoord om in plaats daarvan meerdere verificateurs te gebruiken.
In de toekomst zei LayerZero dat het zal stoppen met het goedkeuren van berichten voor elke applicatie die nog steeds deze configuratie uitvoert.
Eén enkel punt van mislukking Waarnemers zeggen dat de exploit aan het licht bracht hoe de brug werd gebouwd om één enkele verificateur te vertrouwen.
Het was “een enkel punt van mislukking, ongeacht hoe de marketing het noemt”, vertelde Shalev Keren, mede-oprichter van cryptografisch beveiligingsbedrijf Sodot, aan Decrypt.
Eén enkel gecompromitteerd controlepunt was voldoende om het geld de brug te laten verlaten, en geen enkele audit of veiligheidsbeoordeling had die fout kunnen verhelpen zonder ‘het eenzijdige vertrouwen uit de architectuur zelf te verwijderen’, zei Keren.
Die mening werd herhaald door Haoze Qiu, Blockchain Lead bij Grvt, die betoogde dat "Kelp DAO een bridge-beveiligingsopstelling lijkt te hebben geaccepteerd met te weinig redundantie voor een asset van deze omvang", eraan toevoegend dat LayerZero "ook verantwoordelijkheid heeft", aangezien "het compromis betrekking had op de infrastructuur die was gekoppeld aan de validator-stack, zelfs als dit niet werd beschreven als een bug in het kernprotocol."
Volgens een analyse van blockchain-beveiligingsbedrijf Cyvers kwamen de aanvallers binnen drie minuten nadat ze nog eens $100 miljoen hadden gestolen voordat een snelle zwarte lijst hen afsloot. De operatie was gebaseerd op het misleiden van een enkel communicatiekanaal, vertelde Cyvers CTO Meir Dolev aan Decrypt.
Aanvallers tikten op twee van de lijnen die de verificateur gebruikte om te controleren of er daadwerkelijk een opname had plaatsgevonden op Unichain, gaven hem een nep “ja” op die lijnen en schakelden vervolgens de resterende lijnen offline om de verificateur te dwingen te vertrouwen op de gecompromitteerde lijnen.
"De kluis was in orde. De bewaker was eerlijk. Het deurmechanisme werkte correct", zei Dolev. “De leugen werd rechtstreeks gefluisterd naar de enige partij wiens woord de deur opende.”
Maar terwijl LayerZero, wiens infrastructuur de drooggelegde brug aandreef, Lazarus als de waarschijnlijke boosdoener aanwees, stopte Cyvers in zijn eigen analyse met dezelfde toeschrijving.
Sommige patronen komen qua verfijning, schaal en gecoördineerde uitvoering overeen met Noord-Koreaanse operaties, zei Dolev, maar er is geen enkele portefeuilleclustering die aan de groep is gekoppeld bevestigd.
De kwaadaardige knooppuntsoftware is ontworpen om zichzelf te wissen zodra de aanval is voltooid, waarbij binaire bestanden en logboeken worden gewist om het spoor van de aanvallers in realtime en post-mortem te verbergen, voegde hij eraan toe.
Eerder deze maand hebben aanvallers ongeveer 285 miljoen dollar onttrokken aan het op Solana gebaseerde perpetuals-protocol Drift, een exploit die later aan Noord-Koreaanse agenten werd toegeschreven.
Dolev merkte op dat de Drift-hack “heel verschillend was in termen van voorbereiding en uitvoering”, maar dat beide aanvallen lange doorlooptijden, diepgaande expertise en aanzienlijke middelen vereisten om te slagen.
Cyvers vermoedt dat het gestolen geld naar dit Ethereum-adres is overgemaakt, wat aansluit bij een afzonderlijk rapport van on-chain-onderzoeker ZachXBT, waarin het samen met vier anderen werd gemarkeerd. De aanvalsadressen werden gefinancierd via muntmixer Tornado Cash, volgens ZachXBT.
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!
Aanvallers hebben zaterdag ongeveer $ 292 miljoen uit de kettingbrug van KelpDAO gehaald.
LayerZero, dat de kapotte brug van energie voorzag, koppelde de hack aan de Noord-Koreaanse Lazarus Group.
De brug zelf was niet kapot, maar aanvallers beschadigden het kanaal en verifieerden het, zo kreeg Decrypt te horen.
De exploit die afgelopen weekend ongeveer 292 miljoen dollar uit de cross-chain brug van KelpDAO heeft geput, was “waarschijnlijk” het werk van de Noord-Koreaanse Lazarus Group, met name de TraderTraitor-subeenheid, zei LayerZero maandag in een voorlopige analyse.
Aanvallers hebben zaterdag 116.500 rsETH, een liquide heropname-token ondersteund door ingezette ether, van de KelpDAO-brug gehaald, wat opnames in de gedecentraliseerde financiële sector veroorzaakte die meer dan $10 miljard uit het kredietprotocol Aave haalde.
De aanval droeg de kenmerken van “een zeer geavanceerde staatsacteur, waarschijnlijk de Lazarus Group van de DVK”, zei LayerZero, waarbij hij de TraderTraitor-subeenheid van de groep specificeerde.
De cyberoperaties van Noord-Korea vallen onder het Reconnaissance General Bureau, dat verschillende eenheden huisvest, waaronder TraderTraitor, AppleJeus, APT38 en DangerousPassword, volgens een analyse van Paradigm-onderzoeker Samczsun.
https://t.co/3vIHs3Xgs4
— LayerZero (@LayerZero_Core) 20 april 2026
Van deze subeenheden wordt TraderTraitor aangemerkt als de meest geavanceerde Noord-Koreaanse actor die zich op cryptovaluta richt, eerder gekoppeld aan de compromissen Axie Infinity Ronin Bridge en WazirX.
LayerZero zei dat KelpDAO één enkele verificateur had gebruikt om overdrachten in en uit de brug goed te keuren, en voegde eraan toe dat het KelpDAO herhaaldelijk had aangespoord om in plaats daarvan meerdere verificateurs te gebruiken.
In de toekomst zei LayerZero dat het zal stoppen met het goedkeuren van berichten voor elke applicatie die nog steeds deze configuratie uitvoert.
Eén enkel punt van mislukking Waarnemers zeggen dat de exploit aan het licht bracht hoe de brug werd gebouwd om één enkele verificateur te vertrouwen.
Het was “een enkel punt van mislukking, ongeacht hoe de marketing het noemt”, vertelde Shalev Keren, mede-oprichter van cryptografisch beveiligingsbedrijf Sodot, aan Decrypt.
Eén enkel gecompromitteerd controlepunt was voldoende om het geld de brug te laten verlaten, en geen enkele audit of veiligheidsbeoordeling had die fout kunnen verhelpen zonder ‘het eenzijdige vertrouwen uit de architectuur zelf te verwijderen’, zei Keren.
Die mening werd herhaald door Haoze Qiu, Blockchain Lead bij Grvt, die betoogde dat "Kelp DAO een bridge-beveiligingsopstelling lijkt te hebben geaccepteerd met te weinig redundantie voor een asset van deze omvang", eraan toevoegend dat LayerZero "ook verantwoordelijkheid heeft", aangezien "het compromis betrekking had op de infrastructuur die was gekoppeld aan de validator-stack, zelfs als dit niet werd beschreven als een bug in het kernprotocol."
Volgens een analyse van blockchain-beveiligingsbedrijf Cyvers kwamen de aanvallers binnen drie minuten nadat ze nog eens $100 miljoen hadden gestolen voordat een snelle zwarte lijst hen afsloot. De operatie was gebaseerd op het misleiden van een enkel communicatiekanaal, vertelde Cyvers CTO Meir Dolev aan Decrypt.
Aanvallers tikten op twee van de lijnen die de verificateur gebruikte om te controleren of er daadwerkelijk een opname had plaatsgevonden op Unichain, gaven hem een nep “ja” op die lijnen en schakelden vervolgens de resterende lijnen offline om de verificateur te dwingen te vertrouwen op de gecompromitteerde lijnen.
"De kluis was in orde. De bewaker was eerlijk. Het deurmechanisme werkte correct", zei Dolev. “De leugen werd rechtstreeks gefluisterd naar de enige partij wiens woord de deur opende.”
Maar terwijl LayerZero, wiens infrastructuur de drooggelegde brug aandreef, Lazarus als de waarschijnlijke boosdoener aanwees, stopte Cyvers in zijn eigen analyse met dezelfde toeschrijving.
Sommige patronen komen qua verfijning, schaal en gecoördineerde uitvoering overeen met Noord-Koreaanse operaties, zei Dolev, maar er is geen enkele portefeuilleclustering die aan de groep is gekoppeld bevestigd.
De kwaadaardige knooppuntsoftware is ontworpen om zichzelf te wissen zodra de aanval is voltooid, waarbij binaire bestanden en logboeken worden gewist om het spoor van de aanvallers in realtime en post-mortem te verbergen, voegde hij eraan toe.
Eerder deze maand hebben aanvallers ongeveer 285 miljoen dollar onttrokken aan het op Solana gebaseerde perpetuals-protocol Drift, een exploit die later aan Noord-Koreaanse agenten werd toegeschreven.
Dolev merkte op dat de Drift-hack “heel verschillend was in termen van voorbereiding en uitvoering”, maar dat beide aanvallen lange doorlooptijden, diepgaande expertise en aanzienlijke middelen vereisten om te slagen.
Cyvers vermoedt dat het gestolen geld naar dit Ethereum-adres is overgemaakt, wat aansluit bij een afzonderlijk rapport van on-chain-onderzoeker ZachXBT, waarin het samen met vier anderen werd gemarkeerd. De aanvalsadressen werden gefinancierd via muntmixer Tornado Cash, volgens ZachXBT.
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!