LayerZero szczegółowo opisuje exploit KelpDAO za 292 mln USD i wzmacnia bezpieczeństwo mostu

LayerZero Labs opublikowało raport dotyczący ataku na mostek KelpDAO, informując, że napastnicy ukradli około 292 milionów dolarów w rsETH po zatruciu infrastruktury RPC używanej przez sieć weryfikacyjną, co wymusiło zmiany polityki dotyczące konfiguracji z pojedynczym sygnatariuszem.

LayerZero Labs opublikowało szczegółowy opis exploita KelpDAO, potwierdzając, że napastnicy ukradli około 116 500 rsETH, wartych około 292 milionów dolarów, poprzez naruszenie infrastruktury downstream powiązanej z warstwą weryfikacyjną używaną w konfiguracji cross-chain KelpDAO.

Firma stwierdziła, że incydent był ograniczony do konfiguracji rsETH KelpDAO, ponieważ aplikacja opierała się na konfiguracji DVN 1-z-1, gdzie LayerZero Labs był jedynym weryfikatorem — rozwiązanie, które LayerZero określiło jako bezpośrednio sprzeczne z jego stałym zaleceniem, aby aplikacje korzystały ze zdywersyfikowanych konfiguracji multi-DVN z redundancją.

W swoim oświadczeniu LayerZero stwierdziło, że doszło do „zerowego zarażenia jakichkolwiek innych aktywów lub aplikacji cross-chain", argumentując, że modularna architektura bezpieczeństwa protokołu ograniczyła zasięg szkód, nawet gdy zawiodła pojedyncza konfiguracja na poziomie aplikacji.

Jak działał atak

Zgodnie z raportem LayerZero, atak z 18 kwietnia 2026 roku wymierzony był w infrastrukturę RPC, na której opierał się DVN LayerZero Labs, a nie w sam protokół LayerZero, zarządzanie kluczami ani oprogramowanie DVN.

Firma poinformowała, że napastnicy uzyskali dostęp do listy RPC używanych przez DVN, naruszyli dwa węzły działające na oddzielnych klastrach, zastąpili pliki binarne na węzłach op-geth, a następnie wykorzystali złośliwe payloady do przesyłania sfałszowanych danych transakcyjnych do weryfikatora, zwracając jednocześnie prawdziwe dane do innych punktów końcowych, w tym wewnętrznych usług monitorowania.

Aby sfinalizować exploit, napastnicy przeprowadzili również ataki DDoS na niezagrożone punkty końcowe RPC, co wywołało przełączenie awaryjne w kierunku zatrutych węzłów i umożliwiło DVN LayerZero Labs potwierdzenie transakcji, które nigdy nie miały miejsca.

Zewnętrzne prace kryminalistyczne w znacznym stopniu potwierdzają ten opis. Chainalysis stwierdziło, że napastnicy powiązani z północnokoreańską grupą Lazarus Group, konkretnie TraderTraitor, nie wykorzystali błędu w smart kontrakcie, lecz sfałszowali wiadomość cross-chain poprzez zatrucie wewnętrznych węzłów RPC i przeciążenie zewnętrznych w konfiguracji weryfikacyjnej z pojedynczym punktem awarii.

Zmiany w zakresie bezpieczeństwa

LayerZero poinformowało, że natychmiastowa reakcja obejmowała wycofanie i zastąpienie wszystkich dotkniętych węzłów RPC, przywrócenie DVN LayerZero Labs do działania oraz kontakt z organami ścigania, a także współpracę z partnerami branżowymi i Seal911 w celu śledzenia skradzionych środków.

Co ważniejsze, firma zmienia sposób obsługi ryzykownych konfiguracji. W oświadczeniu LayerZero stwierdziło, że jego DVN „nie będzie podpisywać ani potwierdzać wiadomości z żadnych aplikacji korzystających z konfiguracji 1/1" — bezpośrednia zmiana polityki mająca na celu zapobieżenie powtórzeniu się trybu awarii KelpDAO.

Firma kontaktuje się również z projektami nadal korzystającymi z konfiguracji 1/1, aby przenieść je na modele multi-DVN z redundancją, co w praktyce oznacza przyznanie, że elastyczność konfiguracji bez wymuszonych zabezpieczeń była zbyt przyzwalająca.

Obraz atrybucji również się wyjaśnił. Chainalysis powiązało exploit z północnokoreańską grupą Lazarus Group, a konkretnie TraderTraitor, podczas gdy Nexus Mutual podało, że sfałszowana wiadomość opróżniła 292 miliony dolarów z mostka KelpDAO w niecałe 46 minut, czyniąc to jedną z największych strat DeFi w 2026 roku.

Wynik to znajoma, lecz brutalna lekcja dla infrastruktury cross-chain: smart kontrakty mogą pozostać nienaruszone, a protokół i tak może zawieść w praktyce, jeśli warstwa zaufania off-chain jest wystarczająco słaba. LayerZero stara się teraz udowodnić, że właściwy wniosek z kradzieży na mostku wartej 292 miliony dolarów nie jest taki, że bezpieczeństwo modularne zawiodło, ale że zezwolenie komukolwiek na uruchomienie konfiguracji z pojedynczym sygnatariuszem było prawdziwym błędem.