«LayerZero Labs опублікувала звіт про інцидент щодо атаки на міст KelpDAO, у якому йдеться, що близько 292 мільйонів доларів США в rsETH було викрадено після того, як зловмисники отруїли інфраструктуру RPC, що використовується мережею перевірки, і змінили політику конфігурацій з одним підписом. Підсумок LayerZero сказав, що KelpDAO було використано на суму близько 290 мільйонів доларів, або приблизно 116 500 rsETH, під час окремої атаки», — пишуть на: www.crypto.news
LayerZero Labs опублікувала звіт про інцидент щодо атаки на міст KelpDAO, у якому йдеться, що близько 292 мільйонів доларів США в rsETH було викрадено після того, як зловмисники отруїли інфраструктуру RPC, що використовується мережею перевірки, і змінили політику конфігурацій з одним підписом.
Резюме
- LayerZero сказав, що KelpDAO було використано для отримання приблизно 290 мільйонів доларів США, або приблизно 116 500 rsETH, під час атаки, ізольованої на налаштування єдиного DVN rsETH.
- Компанія заявила, що попередні індикатори вказують на TraderTraitor, пов’язаний з Північною Кореєю, і описала експлойт як компрометацію інфраструктури, а не помилку протоколу.
- LayerZero заявив, що припинить підписувати повідомлення для програм, які використовують конфігурації 1/1 DVN, і підштовхує постраждалих інтеграторів до резервування кількох DVN.
LayerZero Labs опублікувала детальний звіт про експлойт KelpDAO, підтверджуючи, що зловмисники вкрали приблизно 116 500 rsETH на суму близько 292 мільйонів доларів, скомпрометувавши інфраструктуру низхідної течії, пов’язану з рівнем перевірки, який використовується в конфігурації крос-ланцюга KelpDAO.
Компанія заявила, що інцидент був обмежений налаштуванням rsETH KelpDAO, оскільки додаток покладався на конфігурацію DVN 1 з 1 із LayerZero Labs як єдиним перевіряючим, дизайн, який, за словами LayerZero, прямо суперечить його постійній рекомендації щодо використання програмами різноманітних налаштувань кількох DVN із резервуванням.
У своїй заяві LayerZero стверджує, що «нульове зараження будь-яких інших міжланцюжкових активів або додатків», стверджуючи, що модульна архітектура безпеки протоколу містила радіус вибуху, навіть якщо конфігурація на рівні однієї програми вийшла з ладу.
Як діяла атака
Згідно зі звітом LayerZero, атака 18 квітня 2026 року була спрямована на інфраструктуру RPC, на яку покладається LayerZero Labs DVN, а не на використання протоколу LayerZero, керування ключами чи самого програмного забезпечення DVN.
У компанії заявили, що зловмисники отримали доступ до списку RPC, які використовуються DVN, скомпрометували два вузли, що працюють на окремих кластерах, замінили двійкові файли на вузлах op-geth, а потім використали зловмисне корисне навантаження, щоб передавати підроблені дані транзакцій верифікатору, повертаючи правдиві дані іншим кінцевим точкам, включаючи служби внутрішнього моніторингу.
Щоб завершити експлойт, зловмисники також запустили DDoS-атаки на нескомпрометовані кінцеві точки RPC, що спричинило перемикання після відмови на отруєні вузли та дозволило LayerZero Labs DVN підтверджувати транзакції, які насправді ніколи не відбувалися.
Зовнішня судово-медична експертиза в цілому відповідає цьому опису. У Chainalysis заявили, що зловмисники, пов’язані з північнокорейською Lazarus Group, зокрема TraderTraitor, не скористалися помилкою смарт-контракту, а замість цього підробили міжланцюгове повідомлення, отруївши внутрішні вузли RPC і перевантаживши зовнішні в налаштуваннях перевірки в одній точці відмови.
Зміни безпеки
У LayerZero повідомили, що негайна реакція включала припинення підтримки та заміну всіх постраждалих вузлів RPC, відновлення роботи LayerZero Labs DVN і звернення до правоохоронних органів під час роботи з галузевими партнерами та Seal911 для відстеження вкрадених коштів.
Що ще важливіше, компанія змінює спосіб роботи з ризикованими конфігураціями. У заяві LayerZero сказано, що його DVN «не підписуватиме та не засвідчуватиме повідомлення від будь-яких програм, які використовують конфігурацію 1/1», пряма зміна політики, спрямована на запобігання повторенню режиму збою KelpDAO.
Компанія також звертається до проектів, які все ще використовують конфігурації 1/1, щоб перевести їх на моделі з декількома DVN із резервуванням, фактично визнаючи, що гнучкість конфігурації без посилених рейок безпеки була надто дозволеною на практиці.
Атрибуційний малюнок також затвердів. Chainalysis пов’язала експлойт із північнокорейською Lazarus Group і, зокрема, TraderTraitor, тоді як Nexus Mutual заявила, що підроблене повідомлення витягло з мосту KelpDAO 292 мільйони доларів менш ніж за 46 хвилин, що зробило його однією з найбільших втрат DeFi у 2026 році.
Результатом є знайомий, але жорстокий урок для міжланцюгової інфраструктури: смарт-контракти можуть вижити без змін, а протокол все одно може вийти з ладу на практиці, якщо позаланцюговий рівень довіри досить слабкий. Зараз LayerZero намагається довести, що правильний висновок із крадіжки мосту вартістю 292 мільйони доларів полягає не в тому, що модульний захист не вдався, а в тому, що дозволити будь-кому запускати налаштування з одним підписом було справжньою помилкою.