Detalhes do exploit do $292M KelpDAO do LayerZero e reforça a segurança das pontes

A LayerZero Labs divulgou seu relatório de incidente sobre o ataque à ponte KelpDAO, afirmando que cerca de US$ 292 milhões em rsETH foram roubados após os atacantes envenenarem a infraestrutura de RPC usada pela sua rede de verificação e forçarem mudanças de política em torno de configurações com um único signatário.

Resumo

• A LayerZero disse que KelpDAO foi explorado para cerca de US$ 290 milhões, ou aproximadamente 116.500 rsETH, em um ataque isolado ao setup de single-DVN do rsETH.
• A empresa disse que indicadores preliminares apontam para o TraderTraitor, ligado à Coreia do Norte, e descreveu o exploit como uma violação de infraestrutura em vez de uma falha de protocolo.
• A LayerZero disse que vai interromper a assinatura de mensagens para aplicações que usam configurações 1/1 de DVN e está pressionando integradores afetados a migrarem para redundância com multi-DVN.

A LayerZero Labs publicou um relato detalhado do exploit do KelpDAO, confirmando que os atacantes roubaram cerca de 116.500 rsETH, no valor de aproximadamente US$ 292 milhões, comprometendo a infraestrutura downstream ligada à camada de verificação usada na configuração cross-chain do KelpDAO.

A empresa disse que o incidente foi limitado ao setup de rsETH do KelpDAO porque a aplicação dependia de uma configuração DVN 1-of-1, com a LayerZero Labs como o único verificador — um design que a LayerZero disse que contradiz diretamente a recomendação em vigor de que as aplicações usem configurações diversificadas multi-DVN com redundância.

Em sua declaração, a LayerZero disse que houve "zero contágio para quaisquer outros ativos cross-chain ou aplicações", argumentando que a arquitetura modular de segurança do protocolo continha o raio de explosão mesmo enquanto uma única configuração no nível de aplicação falhou.

Como o ataque funcionou {#how-the-attack-worked}

De acordo com o relatório da LayerZero, o ataque de 18 de abril de 2026 teve como alvo a infraestrutura de RPC na qual a DVN da LayerZero Labs se apoia, em vez de explorar o protocolo LayerZero, a gestão de chaves ou o próprio software de DVN.

A empresa disse que os atacantes obtiveram acesso à lista de RPCs usada pela DVN, comprometeram dois nós executados em clusters separados, substituíram binários nos nós op-geth e, então, usaram payloads maliciosos para alimentar dados de transações forjadas ao verificador enquanto devolviam dados verdadeiros para outros endpoints, incluindo serviços internos de monitoramento.

Para completar o exploit, os atacantes também lançaram ataques DDoS em endpoints de RPC não comprometidos, o que acionou failover para os nós envenenados e permitiu que a DVN da LayerZero Labs confirmasse transações que, na prática, nunca tinham ocorrido.

Trabalhos forenses externos, em linhas gerais, corroboram essa descrição. A Chainalysis disse que os atacantes ligados ao Grupo Lazarus da Coreia do Norte, especificamente o TraderTraitor, não exploraram uma falha em contrato inteligente; em vez disso, forjaram uma mensagem cross-chain ao envenenar nós internos de RPC e sobrecarregar os externos em um setup de verificação com ponto único de falha.

Mudanças de segurança {#security-changes}

A LayerZero disse que a resposta imediata incluiu descontinuar e substituir todos os nós de RPC afetados, restaurar a DVN da LayerZero Labs à operação e contatar agências de aplicação da lei, enquanto trabalhava com parceiros da indústria e a Seal911 para rastrear os fundos roubados.

Mais importante, a empresa está mudando a forma como lida com configurações arriscadas. Na declaração, a LayerZero disse que sua DVN "não vai assinar nem atestar mensagens de quaisquer aplicações que utilizem uma configuração 1/1", uma mudança direta de política voltada a impedir uma repetição do modo de falha do KelpDAO.

A empresa também está entrando em contato com projetos ainda usando configurações 1/1 para migrá-los para modelos multi-DVN com redundância, admitindo efetivamente que a flexibilidade de configuração sem barreiras de segurança impostas era permissiva demais na prática.

O quadro de atribuição também ficou mais sólido. A Chainalysis vinculou o exploit ao Grupo Lazarus da Coreia do Norte e, especificamente, ao TraderTraitor, enquanto a Nexus Mutual disse que a mensagem forjada drenou US$ 292 milhões da ponte do KelpDAO em menos de 46 minutos, tornando-se uma das maiores perdas de DeFi de 2026.

O resultado é uma lição familiar, porém brutal, para infraestrutura cross-chain: os contratos inteligentes podem sobreviver intactos e o protocolo ainda pode falhar na prática se a camada de confiança off-chain for fraca o suficiente. Agora, a LayerZero tenta provar que o takeaway correto de um roubo de ponte de US$ 292 milhões não é que a segurança modular falhou, mas que permitir que qualquer pessoa rodasse um setup com signatário único foi o verdadeiro erro.