LayerZero Labs опубликовала свой отчёт о происшествии, связанном с атакой на мост KelpDAO, заявив, что злоумышленники похитили около 292 миллионов долларов в rsETH после того, как они отравили инфраструктуру RPC, используемую сетью верификации, и вынудили внести изменения в политику вокруг конфигураций с одним подписантом.
Краткое резюме
- LayerZero заявила, что KelpDAO была использована в атаке примерно на 290 миллионов долларов, или около 116 500 rsETH, при этом атака была изолирована только для единственной DVN-конфигурации rsETH.
- Компания сообщила, что предварительные индикаторы указывают на TraderTraitor, связанного с Северной Кореей, и охарактеризовала эксплойт как компрометацию инфраструктуры, а не сбой протокола.
- LayerZero заявила, что прекратит подписывать сообщения для приложений, использующих конфигурации 1/1 DVN, и продвигает затронутых интеграторов к многодvN-избыточности.
LayerZero Labs опубликовала подробное описание взлома KelpDAO, подтвердив, что злоумышленники похитили примерно 116 500 rsETH, стоимостью около 292 миллионов долларов, скомпрометировав инфраструктуру уровня ниже, привязанную к верификационному слою, используемому в кроссчейн-конфигурации KelpDAO.
Компания заявила, что инцидент ограничился rsETH-настройкой KelpDAO, потому что приложение полагалось на конфигурацию 1-of-1 DVN, где LayerZero Labs выступала единственным верификатором — дизайн, который LayerZero назвала напрямую противоречащим её действующей рекомендации использовать диверсифицированные многодvN-настройки с избыточностью.
В своём заявлении LayerZero сказала, что было «нулевое распространение на любые другие кроссчейн-активы или приложения», утверждая, что модульная архитектура безопасности протокола удержала масштаб ущерба, даже несмотря на то, что отказ произошёл в одной конфигурации уровня приложения.
Как работала атака {#how-the-attack-worked}
Согласно отчёту LayerZero, атака 18 апреля 2026 года была нацелена на RPC-инфраструктуру, на которую опирается DVN LayerZero Labs, а не на эксплуатацию протокола LayerZero, управления ключами или самого ПО DVN.
Компания заявила, что злоумышленники получили доступ к списку RPC, используемых DVN, скомпрометировали два узла, запущенных в отдельных кластерах, заменили бинарники на op-geth-узлах, а затем использовали вредоносные полезные нагрузки, чтобы подать верификатору поддельные данные транзакций, возвращая при этом правдивые данные на другие конечные точки, включая внутренние сервисы мониторинга.
Чтобы завершить эксплойт, злоумышленники также запустили DDoS-атаки на не скомпрометированные RPC-эндпойнты, что вызвало переключение на отравленные узлы и позволило DVN LayerZero Labs подтвердить транзакции, которые на самом деле никогда не происходили.
Внешние форензические работы в целом совпадают с этим описанием. Chainalysis заявила, что атакующие, связанные с группировкой Lazarus Group из Северной Кореи, в частности TraderTraitor, не использовали баг в смарт-контракте, а вместо этого подделали кроссчейн-сообщение, отравив внутренние RPC-узлы и перегрузив внешние — в настройке верификации с одной точкой отказа.
Изменения по безопасности {#security-changes}
LayerZero заявила, что немедленная реакция включала вывод из эксплуатации и замену всех затронутых RPC-узлов, восстановление работы DVN LayerZero Labs и обращение в правоохранительные органы, одновременно работая с партнёрами отрасли и Seal911 для отслеживания похищенных средств.
Более важно, что компания меняет подход к обработке рискованных конфигураций. В заявлении LayerZero сказала, что её DVN «не будет подписывать или удостоверять сообщения от любых приложений, использующих конфигурацию 1/1», — это прямое изменение политики, направленное на предотвращение повторения сценария отказа, как в KelpDAO.
Компания также выходит на проекты, которые всё ещё используют конфигурации 1/1, чтобы перевести их на многодvN-модели с избыточностью, по сути признавая, что гибкость конфигураций без принудительных ограничителей безопасности на практике была слишком permissive.
Картинка по атрибуции тоже ужесточилась. Chainalysis связала эксплойт с Lazarus Group из Северной Кореи и в частности TraderTraitor, а Nexus Mutual заявила, что поддельное сообщение вывело из KelpDAO-моста 292 миллиона долларов менее чем за 46 минут, сделав это одной из крупнейших потерь DeFi 2026 года.
Итог — знакомый, но жёсткий урок для кроссчейн-инфраструктуры: смарт-контракты могут выжить без повреждений, а протокол всё равно может потерпеть неудачу на практике, если доверительный офчейн-слой окажется слишком слабым. Сейчас LayerZero пытается показать, что правильный вывод после кражи моста на 292 миллиона долларов заключается не в том, что модульная безопасность не сработала, а в том, что разрешение любому запускать настройку с одним подписантом было настоящей ошибкой.
