TechFlow rapporte que, le 20 avril, selon l’analyse d’Yuxian (@evilcos), fondateur de SlowMist, le cœur de l’attaque ayant entraîné le vol d’environ 290 millions de dollars sur KelpDAO consistait en une « empoisonnement ciblé » des infrastructures RPC en aval du réseau de validateurs décentralisés (DVN) LayerZero.
Les étapes précises de l’attaque sont les suivantes : tout d’abord, obtenir la liste des nœuds RPC utilisés par le DVN LayerZero ; ensuite, compromettre deux clusters indépendants et remplacer leurs binaires op-geth ; puis, à l’aide d’une technique de tromperie sélective, renvoyer uniquement au DVN une charge utile malveillante falsifiée, tandis que les autres adresses IP reçoivent des données authentiques ; parallèlement, lancer une attaque par déni de service distribué (DDoS) contre les nœuds RPC non compromis afin de forcer le DVN à basculer vers les nœuds déjà empoisonnés ; enfin, après validation des messages falsifiés, le binaire malveillant s’autodétruit et efface les journaux. Cette chaîne d’actions a conduit le DVN LayerZero à signer une validation pour des « transactions qui n’ont jamais eu lieu ».
