Menos de tres semanas después de que los piratas informáticos vinculados a Corea del Norte utilizaran la ingeniería social para atacar a la empresa de comercio de criptomonedas Drift, los piratas informáticos vinculados a la nación parecen haber logrado otro importante exploit con Kelp.
El ataque a Kelp, un protocolo de recuperación vinculado a la infraestructura de cadena cruzada de LayerZero, sugiere una evolución en la forma en que operan los piratas informáticos vinculados a Corea del Norte, no solo buscando errores o credenciales robadas, sino explotando los supuestos básicos integrados en los sistemas descentralizados.
En conjunto, los dos incidentes apuntan a algo más organizado que una serie de ataques puntuales, a medida que Corea del Norte continúa intensificando sus esfuerzos para secuestrar fondos del sector criptográfico.
“Esto no es una serie de incidentes; es una cadencia”, dijo Alexander Urbelis, director de seguridad de la información y asesor general de ENS Labs. “No se puede salirse de un calendario de adquisiciones”.
Se desviaron más de 500 millones de dólares a través de las hazañas de Drift y Kelp en poco más de dos semanas.
Cómo se rompió Kelp
En esencia, el exploit Kelp no implicaba romper el cifrado ni descifrar claves. En realidad, el sistema funcionó tal como fue diseñado. Más bien, los atacantes manipularon los datos que ingresaban al sistema y lo obligaron a confiar en esas entradas comprometidas, lo que provocó que aprobara transacciones que en realidad nunca ocurrieron.
“El fallo de seguridad es simple: una mentira firmada sigue siendo una mentira”, afirmó Urbelis. “Las firmas garantizan la autoría; no garantizan la verdad”.
En términos más simples, el sistema verificaba quién envió el mensaje, no si el mensaje en sí era correcto. Para los expertos en seguridad, esto hace que se trate menos de un nuevo truco inteligente y más de explotar cómo se configuró el sistema.
“Este ataque no pretendía romper la criptografía”, dijo David Schwed, director de operaciones de la firma de seguridad blockchain SVRN. “Se trataba de explotar cómo se configuró el sistema”.
Una cuestión clave fue la elección de configuración. Kelp se basó en un único verificador, esencialmente un verificador, para aprobar los mensajes entre cadenas. Esto se debe a que es más rápido y sencillo de configurar, pero elimina una capa de seguridad crítica.
Desde entonces, LayerZero ha recomendado el uso de múltiples verificadores independientes para aprobar las transacciones, de manera similar a requerir múltiples firmas en una transferencia bancaria. Algunos en el ecosistema han rechazado ese marco.diciendo que la configuración predeterminada de LayerZero era tener un único verificador.
“Si ha identificado una configuración como insegura, no la envíe como una opción”, dijo Schwed. “La seguridad que depende de que todos lean los documentos y lo hagan correctamente no es realista”.
Las consecuencias no se han limitado a las algas. Como muchos sistemas DeFi, sus activos se utilizan en múltiples plataformas, lo que significa que los problemas pueden extenderse.
“Estos activos son una cadena de pagarés”, dijo Schwed. “Y la cadena es tan fuerte como los controles en cada eslabón”.
Cuando un eslabón se rompe, otros se ven afectados. En este caso, las plataformas de préstamos como Aave, que aceptaron los activos afectados como garantía, ahora están lidiando con pérdidas, convirtiendo un único exploit en un evento de estrés más amplio.
Marketing de descentralización
El ataque también expone una brecha entre cómo se comercializa la descentralización y cómo funciona realmente.
“Un verificador único no está descentralizado”, afirmó Schwed. “Es un verificador descentralizado centralizado”.
Urbelis lo expresa de manera más amplia.
“La descentralización no es una propiedad que tenga un sistema. Es una serie de opciones”, afirmó. “Y la pila es tan fuerte como su capa más centralizada”.
En la práctica, eso significa que incluso los sistemas que parecen descentralizados pueden tener puntos débiles, especialmente en las capas menos visibles, como los proveedores de datos o la infraestructura. Es allí donde se centran cada vez más los atacantes.
Ese cambio puede explicar el reciente ataque a Lazarus.
El grupo ha comenzado a centrarse en la cadena cruzada y en la recuperación de la infraestructura, dijo Urbelis, las partes de las criptomonedas que mueven activos entre sistemas o permiten su reutilización.
Estas capas son críticas pero complejas y a menudo se encuentran debajo de aplicaciones más visibles. También tienden a tener grandes cantidades de valor, lo que los convierte en objetivos atractivos.
Si las oleadas anteriores de hackeos de criptomonedas se centraron en intercambios o fallas obvias en el código, la actividad reciente sugiere un movimiento hacia lo que podría llamarse la plomería de la industria, los sistemas que conectan todo, pero que son más difíciles de monitorear y más fáciles de configurar mal.
A medida que Lazarus continúa adaptándose, es posible que el mayor riesgo no sean las vulnerabilidades desconocidas, sino las conocidas que no se abordan por completo.
El exploit Kelp no introdujo ningún nuevo tipo de debilidad. Mostró cuán expuesto está el ecosistema a los familiares, especialmente cuando la seguridad se trata como una recomendación más que como un requisito.
Y a medida que los atacantes se mueven más rápido, esa brecha se vuelve más fácil de explotar y mucho más costosa de ignorar.
Leer más: Los piratas informáticos norcoreanos están llevando a cabo atracos masivos patrocinados por el Estado para gestionar su economía y su programa nuclear.