Noord-Koreaanse Hackers Richten Zich Op Crypto: Een Analyse Van Recente Aanvallen Op Drift En Kelp

De recente cyberaanvallen op de crypto-industrie, uitgevoerd door hackers met banden naar Noord-Korea, schetsen een zorgwekkend beeld van de evoluerende tactieken binnen deze bedreigingen. Slechts drie weken na de aanval op Drift, waarbij social engineering werd ingezet, heeft eenzelfde groep nu een significante exploit uitgevoerd op Kelp, een protocol voor herstaken dat verbonden is met de cross-chain infrastructuur van LayerZero. Beide incidenten wijzen op een georganiseerde strategie in plaats van een reeks losstaande aanvallen, waarbij Noord-Korea zijn inspanningen om financiële middelen uit de cryptomarkt te ontvreemden duidelijk opvoert.

Wat de Kelp-exploit des te intrigerender maakt, is dat deze niet berustte op het kraken van encryptie of sleutels. Het systeem functioneerde zoals het bedoeld was. De aanvallers manipuleerden de gegevens die in het systeem werden ingevoerd, waardoor het systeem zich afhankelijk maakte van deze vervalste invoer en daardoor transacties goedkeurde die in werkelijkheid nooit hadden plaatsgevonden. Alexander Urbelis, chief information security officer en juridisch adviseur bij ENS Labs, benadrukt deze beveiligingsfout: “Een ondertekende leugen blijft een leugen. Handtekeningen waarborgen auteurschap; ze garanderen echter geen waarheid.” Dit illustreert dat de focus niet lag op een nieuw soort hack, maar op het benutten van de ontwerpkeuzes binnen het systeem.

David Schwed, COO van blockchain-beveiligingsfirma SVRN, voegt hieraan toe dat het niet ging om het breken van cryptografie, maar om de exploitatie van systeemelementen. Een cruciale fout in de configuratie was dat Kelp vertrouwde op een enkele verifier om cross-chain berichten goed te keuren; sneller en eenvoudiger, maar zonder een kritische veiligheidslaag. In navolging van deze exploit heeft LayerZero geadviseerd om meerdere onafhankelijke verifiers in te zetten voor transacties, vergelijkbaar met het vereisen van meerdere handtekeningen voor een bankoverdracht. Toch is er in de gemeenschap enige terughoudendheid om deze kritiek te aanvaarden, gezien LayerZero’s initiële ontwerp dat een enkele verifier als standaard had.

De gevolgen van deze exploit reiken verder dan Kelp. De activa binnen dit soort DeFi-systemen (gedecentraliseerde financiën) worden vaak op meerdere platforms gebruikt, waardoor problemen zich snel verspreiden. “Deze activa zijn een keten van IOUs,” legt Schwed uit. “En de keten is slechts zo sterk als de controles op elk schakel.” Wanneer één schakel verzwakt, heeft dit impact op de gehele keten. In dit geval leiden leningsplatforms zoals Aave, die de getroffen activa als onderpand accepteerden, nu tot verliezen, wat van een enkele exploit een bredere stresssituatie maakt.

De aanval op Kelp onthult tevens een discrepantie tussen hoe decentralisatie wordt gepresenteerd en hoe deze in praktijk functioneert. “Een enkele verifier is niet gedecentraliseerd,” stelt Schwed. “Het is een gecentraliseerde, gedecentraliseerde verifier.” Urbelis verbreedt deze observatie: “Decentralisatie is geen eigenschap van een systeem; het is een reeks keuzes. En de technologie is slechts zo sterk als de meest gecentraliseerde laag.” Dit houdt in dat zelfs ogenschijnlijk gedecentraliseerde systemen zwakke plekken kunnen hebben, vooral op minder zichtbare niveaus zoals dataleveranciers of infrastructuur, waar aanvallers zich steeds meer op richten.

Deze verschuiving kan de recente belangstelling van de Lazarus-groep verklaren. Ze richten zich nu op cross-chain en restaking-infrastructuur, essentiële maar complexe lagen in het crypto-landschap die activa tussen systemen verplaatsen of hergebruik mogelijk maken. Dergelijke lagen bevatten vaak aanzienlijke waarde, wat ze aantrekkelijke doelwitten maakt. Terwijl eerdere aanvallen vooral gericht waren op exchanges of duidelijke kwetsbaarheden in de code, lijkt de recente activiteit te wijzen op een verschuiving naar wat men zou kunnen beschouwen als de ‘leiding’ van de industrie, de systemen die alles met elkaar verbinden, maar moeilijker te monitoren zijn en kwetsbaarder voor verkeerd geconfigureerde instellingen.

Terwijl de Lazarus-groep zich blijft aanpassen, ligt het grootste risico niet bij onbekende kwetsbaarheden, maar eerder bij bekende problemen die niet adequaat worden aangepakt. De Kelp-exploit heeft geen nieuwe zwakte geïntroduceerd, maar blootgelegd hoeveel de ecosystemen nog steeds afhankelijk zijn van bekende kwetsbaarheden. En naarmate aanvallers sneller opereren, wordt deze kloof steeds aantrekkelijker om te exploiteren en kostbaarder om te negeren.

Vraag & Antwoord

Hoe hebben de recente aanvallen de crypto-markt beïnvloed?
De recente aanvallen hebben een gevoel van urgentie gecreëerd binnen de crypto-markt, zowel bij investeerders als bij ontwikkelaars, die nu meer dan ooit hun beveiliging moeten herzien en verbeteren om verdere exploits te voorkomen.

Wat zijn de belangrijkste lessen die uit de Kelp-aanval kunnen worden getrokken?
De Kelp-aanval benadrukt de noodzaak van robuustere configuraties en het belang van meerdere verifiers; het toont ook de risico’s aan van afhankelijkheid van enkele controlepunten in anders gedecentraliseerde systemen.

Hoe kunnen investeerders zich beschermen tegen dergelijke risico’s?
Investeerders zouden zich moeten richten op projecten die blijk geven van sterke beveiligingsmaatregelen en transparantie, evenals regelmatig audits laten uitvoeren om kwetsbaarheden te identificeren en de integriteit van hun infrastructuur te waarborgen.