Développeur DeFi Banteg : L'attaque LayerZero n'est pas due à une intoxication RPC

Le 20 avril, LayerZero a publié un rapport sur KelpDAO indiquant que l’attaque contre KelpDAO a été réalisée par empoisonnement RPC du LayerZero DVN par des hackers. Le développeur anonyme de Yearn Finance, Banteg, a exprimé des doutes, affirmant que l’attaque LayerZero n’était pas le résultat d’un empoisonnement RPC. L’empoisonnement du réseau fait référence à des attaquants modifiant des recherches partagées (DNS, ARP, cache) en dehors de la frontière de confiance, où le destinataire n’a aucune raison de suspecter la source. Cependant, cette attaque était différente. Les attaquants ont pénétré la frontière de confiance interne de LayerZero, ont accédé à la liste RPC, ont compromis deux nœuds sur lesquels DVN comptait, et ont remplacé le fichier binaire op-geth. Cela constitue une violation de l’infrastructure à l’intérieur de la frontière, ciblant la chaîne d’approvisionnement plutôt que la couche réseau. De plus, le déploiement de la charge malveillante était très précis. Le binaire malveillant se faisait passer pour une adresse IP, envoyant des charges utiles falsifiées uniquement à DVN, tout en affichant de vraies informations aux scanners et à tous les autres appelants, puis se détruisant pour effacer les logs et les fichiers binaires. L’empoisonnement RPC peut facilement induire en erreur en faisant croire qu’il s’agit d’une attaque externe sur l’infrastructure. En réalité, les attaquants ont implanté un programme malveillant ciblé à l’intérieur de la frontière de confiance, ce qui est bien plus alarmant que ce que son nom laisse penser.