LayerZero Labs hendelsesrapport om KelpDAO bridge-angrepet
LayerZero Labs har publisert sin hendelsesrapport og bekrefter at omtrent $292 millioner i rsETH ble stjålet etter at angripere kompromitterte RPC-infrastrukturen som ble brukt av verifikasjonsnettverket. Angriperne tvang gjennom policyendringer rundt single-signer-konfigurasjoner og stjal omtrent 116.500 rsETH ved å kompromittere infrastrukturen knyttet til verifikasjonslaget som ble brukt i KelpDAOs cross-chain-oppsett.
Selskapet forklarer at hendelsen var begrenset til KelpDAOs rsETH-oppsett fordi applikasjonen stolte på en 1-av-1 DVN-konfigurasjon med LayerZero Labs som eneste verifikator – en design som direkte motsier LayerZeros anbefaling om at applikasjoner bruker diversifiserte multi-DVN-oppsett med redundans. LayerZero bekrefter at det var «null smitte til andre cross-chain-eiendeler eller applikasjoner» og argumenterer for at protokollens modulære sikkerhetsarkitektur begrenset skadenes omfang selv når en enkelt applikasjonsnivå-konfigurasjon mislyktes.
Angrepets tekniske gjennomføring
Ifølge LayerZeros rapport rettet angrepet seg mot RPC-infrastrukturen som LayerZero Labs DVN stolte på den 18. april 2026, i stedet for å utnytte LayerZero-protokollen, nøkkelstyring eller DVN-programvaren selv. Angriperne fikk tilgang til listen over RPC-er som ble brukt av DVN, kompromitterte to noder på separate klynger, erstattet binærfiler på op-geth-noder og brukte deretter ondsinnet kode til å mate forfalskede transaksjonsdata til verifikatoren mens de returnerte korrekte data til andre endepunkter, inkludert interne overvåkingstjenester.
For å gjennomføre exploiten lanserte angriperne også DDoS-angrep på ukompromitterte RPC-endepunkter, som utløste failover mot de forgiftede nodene og tillot LayerZero Labs DVN å bekrefte transaksjoner som aldri hadde funnet sted. Ekstern forensisk analyse bekrefter denne beskrivelsen.
Attribusjon og respons
Chainalysis knyttet angriperne til Nord-Koreas Lazarus Group, spesifikt TraderTraitor-gruppen, og bekreftet at de ikke utnyttet en smart contract-bug, men i stedet forfalskede en cross-chain-melding ved å kompromittere interne RPC-noder og overveldre eksterne noder i et single-point-of-failure-verifikasjonsoppsett.
LayerZeros umiddelbare respons inkluderte avskrivning og erstatning av alle berørte RPC-noder, gjenoppretting av LayerZero Labs DVN til drift og kontakt med rettshåndhevelsesmyndigheter mens de arbeidet med industripartnere og Seal911 for å spore de stjålne midlene.
Viktigere er at selskapet endrer hvordan det håndterer risikable konfigurasjoner. LayerZero kunngjør at dets DVN «ikke vil signere eller attestere meldinger fra applikasjoner som bruker en 1-av-1-konfigurasjon» – en direkte policyendring som tar sikte på å forhindre gjentakelse av KelpDAO-scenarioet. Selskapet kontakter også prosjekter som fortsatt bruker 1-av-1-konfigurasjoner for å migrere dem til multi-DVN-modeller med redundans, og innrømmer effektivt at konfigurasjonsfleksibilitet uten håndhevede sikkerhetskrav var for tillatt.
Nexus Mutual bekreftet at den forfalskede meldingen drenerte $292 millioner fra KelpDAOs bridge på under 46 minutter – ett av 2026s største DeFi-tap. Resultatet understreker en kjent men alvorlig leksjon for cross-chain-infrastruktur:
smart contracts kan forbli intakte og protokollen kan fortsatt mislykkes i praksis hvis det off-chain-tillitslaget er svakt
. LayerZero argumenterer nå for at den riktige konklusjonen fra denne $292 millioner bridge-tyveriet ikke er at modulær sikkerhet mislyktes, men at det å tillate single-signer-oppsett var den virkelige feilen.
