Default
Door Remote - 20 Apr 2026
Minder dan drie weken nadat aan Noord-Korea gelinkte hackers social engineering gebruikten om cryptohandelsbedrijf Drift te raken, lijken hackers die aan het land verbonden zijn opnieuw een grote exploit met Kelp te hebben uitgevoerd.
De aanval op Kelp, een herstelprotocol dat is gekoppeld aan de cross-chain infrastructuur van LayerZero, suggereert een evolutie in de manier waarop aan Noord-Korea gelinkte hackers opereren, niet alleen op zoek naar bugs of gestolen inloggegevens, maar ook door gebruik te maken van de basisaannames die in gedecentraliseerde systemen zijn ingebouwd.
Alles bij elkaar wijzen de twee incidenten op iets dat meer georganiseerd is dan een reeks eenmalige hacks, nu Noord-Korea zijn inspanningen blijft escaleren om geld uit de cryptosector te kapen.
“Dit is geen reeks incidenten; het is een cadans”, zegt Alexander Urbelis, Chief Information Security Officer en General Counsel bij ENS Labs. “Je kunt niet uit een inkoopschema komen.”
In iets meer dan twee weken tijd werd meer dan $500 miljoen overgeheveld via de Drift- en Kelp-exploits.
Hoe Kelp werd geschonden In essentie ging het bij de Kelp-exploit niet om het verbreken van encryptie of het kraken van sleutels. Het systeem werkte eigenlijk zoals het bedoeld was. In plaats daarvan manipuleerden aanvallers de gegevens die het systeem binnenkwamen en dwongen het systeem te vertrouwen op de gecompromitteerde invoer, waardoor het transacties goedkeurde die nooit daadwerkelijk hebben plaatsgevonden.
“Het falen van de beveiliging is eenvoudig: een ondertekende leugen is nog steeds een leugen”, zei Urbelis. “Handtekeningen garanderen auteurschap; ze garanderen geen waarheid.”
In eenvoudiger bewoordingen controleerde het systeem wie het bericht had verzonden, en niet of het bericht zelf correct was. Voor beveiligingsexperts gaat het hierdoor minder om een slimme nieuwe hack en meer om het exploiteren van de manier waarop het systeem is opgezet.
“Deze aanval ging niet over het breken van de cryptografie”, zegt David Schwed, COO van blockchain-beveiligingsbedrijf SVRN. “Het ging om het exploiteren van de manier waarop het systeem was opgezet.”
Een belangrijk probleem was de configuratiekeuze. Kelp vertrouwde op één enkele verificateur, in wezen één checker, om cross-chain berichten goed te keuren. Dat komt omdat het sneller en eenvoudiger in te stellen is, maar het verwijdert een kritische veiligheidslaag.
LayerZero heeft sindsdien aanbevolen om meerdere onafhankelijke verificateurs te gebruiken om transacties in de gevolgen goed te keuren, vergelijkbaar met het vereisen van meerdere handtekeningen bij een bankoverschrijving. Sommigen in het ecosysteem hebben dat kader teruggedrongen en gezegd dat de standaardconfiguratie van LayerZero een enkele verificateur was.
"Als u een configuratie als onveilig heeft geïdentificeerd, verzend deze dan niet als optie", zei Schwed. “Beveiliging die afhangt van het feit dat iedereen de documenten leest en correct uitvoert, is niet realistisch.”
De gevolgen zijn niet beperkt gebleven tot Kelp. Zoals veel DeFi-systemen worden de middelen ervan op meerdere platforms gebruikt, wat betekent dat problemen zich kunnen verspreiden.
“Deze activa zijn een keten van schuldbekentenissen”, zei Schwed. “En de keten is slechts zo sterk als de bediening van elke schakel.”
Wanneer één schakel kapot gaat, worden andere getroffen. In dit geval hebben kredietplatforms zoals Aave, die de getroffen activa als onderpand accepteerden, nu te maken met verliezen, waardoor een enkele exploit in een bredere stressgebeurtenis verandert.
Decentralisatiemarketing De aanval legt ook een kloof bloot tussen de manier waarop decentralisatie op de markt wordt gebracht en hoe het feitelijk werkt.
“Eén enkele verificateur is niet gedecentraliseerd”, zei Schwed. “Het is een gecentraliseerde, gedecentraliseerde verificateur.”
Urbelis formuleert het breder.
"Decentralisatie is geen eigenschap van een systeem. Het is een reeks keuzes", zei hij. “En de stapel is slechts zo sterk als de meest gecentraliseerde laag.”
In de praktijk betekent dit dat zelfs systemen die gedecentraliseerd lijken zwakke punten kunnen hebben, vooral in de minder zichtbare lagen zoals dataproviders of infrastructuur. Dat zijn steeds vaker de plekken waar aanvallers zich op concentreren.
Die verschuiving zou de recente doelwitten van Lazarus kunnen verklaren.
De groep is begonnen zich te concentreren op cross-chain en het opnieuw inrichten van de infrastructuur, zei Urbelis, de delen van crypto die activa tussen systemen verplaatsen of hergebruiken mogelijk maken.
Deze lagen zijn cruciaal maar complex en bevinden zich vaak onder meer zichtbare toepassingen. Ze hebben ook de neiging grote hoeveelheden waarde vast te houden, waardoor ze aantrekkelijke doelwitten zijn.
Terwijl eerdere golven van crypto-hacks zich concentreerden op uitwisselingen of duidelijke codefouten, suggereren recente activiteiten een beweging in de richting van wat het loodgieterswerk van de industrie zou kunnen worden genoemd: de systemen die alles met elkaar verbinden, maar moeilijker te monitoren en gemakkelijker verkeerd te configureren zijn.
Terwijl Lazarus zich blijft aanpassen, zijn het grootste risico misschien niet de onbekende kwetsbaarheden, maar de bekende kwetsbaarheden die nog niet volledig zijn aangepakt.
De Kelp-exploit introduceerde geen nieuw soort zwakte. Het liet zien hoe kwetsbaar het ecosysteem blijft voor bekende factoren, vooral wanneer veiligheid wordt behandeld als een aanbeveling in plaats van als een vereiste.
En naarmate aanvallers sneller handelen, wordt die kloof zowel gemakkelijker te exploiteren als veel duurder om te negeren.
Lees meer: Noord-Koreaanse hackers voeren massale, door de staat gesponsorde overvallen uit om de economie en het nucleaire programma te runnen
De aanval op Kelp, een herstelprotocol dat is gekoppeld aan de cross-chain infrastructuur van LayerZero, suggereert een evolutie in de manier waarop aan Noord-Korea gelinkte hackers opereren, niet alleen op zoek naar bugs of gestolen inloggegevens, maar ook door gebruik te maken van de basisaannames die in gedecentraliseerde systemen zijn ingebouwd.
Alles bij elkaar wijzen de twee incidenten op iets dat meer georganiseerd is dan een reeks eenmalige hacks, nu Noord-Korea zijn inspanningen blijft escaleren om geld uit de cryptosector te kapen.
“Dit is geen reeks incidenten; het is een cadans”, zegt Alexander Urbelis, Chief Information Security Officer en General Counsel bij ENS Labs. “Je kunt niet uit een inkoopschema komen.”
In iets meer dan twee weken tijd werd meer dan $500 miljoen overgeheveld via de Drift- en Kelp-exploits.
Hoe Kelp werd geschonden In essentie ging het bij de Kelp-exploit niet om het verbreken van encryptie of het kraken van sleutels. Het systeem werkte eigenlijk zoals het bedoeld was. In plaats daarvan manipuleerden aanvallers de gegevens die het systeem binnenkwamen en dwongen het systeem te vertrouwen op de gecompromitteerde invoer, waardoor het transacties goedkeurde die nooit daadwerkelijk hebben plaatsgevonden.
“Het falen van de beveiliging is eenvoudig: een ondertekende leugen is nog steeds een leugen”, zei Urbelis. “Handtekeningen garanderen auteurschap; ze garanderen geen waarheid.”
In eenvoudiger bewoordingen controleerde het systeem wie het bericht had verzonden, en niet of het bericht zelf correct was. Voor beveiligingsexperts gaat het hierdoor minder om een slimme nieuwe hack en meer om het exploiteren van de manier waarop het systeem is opgezet.
“Deze aanval ging niet over het breken van de cryptografie”, zegt David Schwed, COO van blockchain-beveiligingsbedrijf SVRN. “Het ging om het exploiteren van de manier waarop het systeem was opgezet.”
Een belangrijk probleem was de configuratiekeuze. Kelp vertrouwde op één enkele verificateur, in wezen één checker, om cross-chain berichten goed te keuren. Dat komt omdat het sneller en eenvoudiger in te stellen is, maar het verwijdert een kritische veiligheidslaag.
LayerZero heeft sindsdien aanbevolen om meerdere onafhankelijke verificateurs te gebruiken om transacties in de gevolgen goed te keuren, vergelijkbaar met het vereisen van meerdere handtekeningen bij een bankoverschrijving. Sommigen in het ecosysteem hebben dat kader teruggedrongen en gezegd dat de standaardconfiguratie van LayerZero een enkele verificateur was.
"Als u een configuratie als onveilig heeft geïdentificeerd, verzend deze dan niet als optie", zei Schwed. “Beveiliging die afhangt van het feit dat iedereen de documenten leest en correct uitvoert, is niet realistisch.”
De gevolgen zijn niet beperkt gebleven tot Kelp. Zoals veel DeFi-systemen worden de middelen ervan op meerdere platforms gebruikt, wat betekent dat problemen zich kunnen verspreiden.
“Deze activa zijn een keten van schuldbekentenissen”, zei Schwed. “En de keten is slechts zo sterk als de bediening van elke schakel.”
Wanneer één schakel kapot gaat, worden andere getroffen. In dit geval hebben kredietplatforms zoals Aave, die de getroffen activa als onderpand accepteerden, nu te maken met verliezen, waardoor een enkele exploit in een bredere stressgebeurtenis verandert.
Decentralisatiemarketing De aanval legt ook een kloof bloot tussen de manier waarop decentralisatie op de markt wordt gebracht en hoe het feitelijk werkt.
“Eén enkele verificateur is niet gedecentraliseerd”, zei Schwed. “Het is een gecentraliseerde, gedecentraliseerde verificateur.”
Urbelis formuleert het breder.
"Decentralisatie is geen eigenschap van een systeem. Het is een reeks keuzes", zei hij. “En de stapel is slechts zo sterk als de meest gecentraliseerde laag.”
In de praktijk betekent dit dat zelfs systemen die gedecentraliseerd lijken zwakke punten kunnen hebben, vooral in de minder zichtbare lagen zoals dataproviders of infrastructuur. Dat zijn steeds vaker de plekken waar aanvallers zich op concentreren.
Die verschuiving zou de recente doelwitten van Lazarus kunnen verklaren.
De groep is begonnen zich te concentreren op cross-chain en het opnieuw inrichten van de infrastructuur, zei Urbelis, de delen van crypto die activa tussen systemen verplaatsen of hergebruiken mogelijk maken.
Deze lagen zijn cruciaal maar complex en bevinden zich vaak onder meer zichtbare toepassingen. Ze hebben ook de neiging grote hoeveelheden waarde vast te houden, waardoor ze aantrekkelijke doelwitten zijn.
Terwijl eerdere golven van crypto-hacks zich concentreerden op uitwisselingen of duidelijke codefouten, suggereren recente activiteiten een beweging in de richting van wat het loodgieterswerk van de industrie zou kunnen worden genoemd: de systemen die alles met elkaar verbinden, maar moeilijker te monitoren en gemakkelijker verkeerd te configureren zijn.
Terwijl Lazarus zich blijft aanpassen, zijn het grootste risico misschien niet de onbekende kwetsbaarheden, maar de bekende kwetsbaarheden die nog niet volledig zijn aangepakt.
De Kelp-exploit introduceerde geen nieuw soort zwakte. Het liet zien hoe kwetsbaar het ecosysteem blijft voor bekende factoren, vooral wanneer veiligheid wordt behandeld als een aanbeveling in plaats van als een vereiste.
En naarmate aanvallers sneller handelen, wordt die kloof zowel gemakkelijker te exploiteren als veel duurder om te negeren.
Lees meer: Noord-Koreaanse hackers voeren massale, door de staat gesponsorde overvallen uit om de economie en het nucleaire programma te runnen