LayerZero Labs ได้เผยแพรรายงานเหตุการณ์เกี่ยวกับการโจมตีสะพาน KelpDAO โดยระบุว่ามีการขโมย rsETH มูลค่าใกล้ $292 ล้าน หลังผู้โจมตีทำให้โครงสร้างพื้นฐาน RPC ที่ใช้โดยเครือข่ายตรวจสอบของตนถูกปลอมปน และบังคับให้มีการปรับเปลี่ยนนโยบายรอบการตั้งค่าแบบผู้ลงนามคนเดียว (single-signer)
สรุป
- LayerZero ระบุว่า KelpDAO ถูกโจมตีจนสูญเสียประมาณ $290 ล้าน หรือราว 116,500 rsETH โดยเป็นการโจมตีที่จำกัดอยู่ที่การตั้งค่า single-DVN ของ rsETH เท่านั้น
- บริษัทกล่าวว่าตัวบ่งชี้เบื้องต้นชี้ไปที่ TraderTraitor ที่เชื่อมโยงเกาหลีเหนือ และอธิบายการโจมตีว่าเป็นการบุกรุกโครงสร้างพื้นฐาน ไม่ใช่ช่องโหว่ของโปรโตคอล
- LayerZero ระบุว่าจะหยุดการลงนามข้อความสำหรับแอปพลิเคชันที่ใช้การตั้งค่า 1/1 DVN และกำลังผลักดันผู้เข้าร่วมที่ได้รับผลกระทบให้หันไปใช้ multi-DVN redundancy
LayerZero Labs ได้เผยแพร่รายละเอียดเกี่ยวกับการเจาะระบบของ KelpDAO โดยยืนยันว่าผู้โจมตีขโมย rsETH ประมาณ 116,500 หน่วย ซึ่งมีมูลค่าประมาณ $292 ล้าน ด้วยการทำให้โครงสร้างพื้นฐานปลายน้ำที่เชื่อมโยงกับเลเยอร์การตรวจสอบซึ่งใช้ในคอนฟิกข้ามสายของ KelpDAO ถูกบุกรุก
บริษัทระบุว่าเหตุการณ์นี้จำกัดอยู่ที่การตั้งค่า rsETH ของ KelpDAO เพราะแอปพลิเคชันพึ่งพาการตั้งค่า 1-of-1 DVN โดยที่ LayerZero Labs เป็นผู้ตรวจสอบเพียงรายเดียว ซึ่งเป็นดีไซน์ที่ LayerZero ระบุว่า “ขัดแย้งโดยตรง” กับคำแนะนำประจำของตนที่ให้แอปพลิเคชันใช้การตั้งค่า multi-DVN ที่กระจายความเสี่ยงพร้อมความซ้ำซ้อน (redundancy)
ในการแถลง LayerZero กล่าวว่า “ไม่มีการแพร่กระจายผลกระทบไปยังสินทรัพย์ข้ามสายหรือแอปพลิเคชันอื่นใด” โดยยืนยันว่าสถาปัตยกรรมความปลอดภัยแบบโมดูลาร์ของโปรโตคอลจำกัดขอบเขตความเสียหายไว้ได้ แม้การตั้งค่าระดับแอปพลิเคชันเพียงจุดเดียวจะล้มเหลว
การโจมตีทำงานอย่างไร {#how-the-attack-worked}
ตามรายงานของ LayerZero การโจมตีวันที่ 18 เมษายน 2026 มุ่งเป้าไปที่โครงสร้างพื้นฐาน RPC ที่ DVN ของ LayerZero Labs พึ่งพาอยู่ โดยไม่ได้เจาะช่องโหว่ที่โปรโตคอล LayerZero โดยตรง ไม่ได้กระทบ key management หรือซอฟต์แวร์ DVN เอง
บริษัทระบุว่าผู้โจมตีเข้าถึงรายชื่อ RPC ที่ใช้โดย DVN ได้ จากนั้นทำให้โหนด 2 โหนดที่รันบนคลัสเตอร์แยกกันถูกบุกรุก และแทนที่ไบนารีบน op-geth nodes ก่อนจะใช้ payload ที่เป็นอันตรายเพื่อป้อนข้อมูลทรานแซกชันปลอมให้ผู้ตรวจสอบ พร้อมทั้งส่งข้อมูลที่เป็นความจริงกลับไปยังปลายทางอื่น ๆ รวมถึงบริการมอนิเตอร์ภายใน
เพื่อให้การโจมตีสำเร็จ ผู้โจมตียังเปิดฉากการโจมตี DDoS ต่อปลายทาง RPC ที่ไม่ได้ถูกบุกรุก ซึ่งทำให้เกิด failover ไปยังโหนดที่ถูกปลอมปน และทำให้ DVN ของ LayerZero Labs ยืนยันทรานแซกชันที่ไม่เคยเกิดขึ้นจริง
งานนิติวิทยาศาสตร์จากภายนอกโดยรวมสอดคล้องกับคำอธิบายนั้นด้วย Chainalysis ระบุว่าผู้โจมตีที่เชื่อมโยงกับ Lazarus Group ของเกาหลีเหนือ โดยเฉพาะ TraderTraitor ไม่ได้ใช้ช่องโหว่ในสัญญาอัจฉริยะ แต่กลับปลอมข้อความข้ามสายด้วยการทำให้โหนด RPC ภายในถูกปลอมปนและทำให้ปลายทางภายนอกถูกท่วมทับ ในการตั้งค่าการตรวจสอบที่ล้มเหลวแบบ “จุดเดียว”
การเปลี่ยนแปลงด้านความปลอดภัย {#security-changes}
LayerZero ระบุว่าการตอบสนองทันทีรวมถึงการเลิกใช้และแทนที่โหนด RPC ที่ได้รับผลกระทบทั้งหมด การนำ DVN ของ LayerZero Labs กลับมาใช้งาน และติดต่อหน่วยงานบังคับใช้กฎหมาย ขณะเดียวกันทำงานร่วมกับพาร์ทเนอร์ในอุตสาหกรรมและ Seal911 เพื่อสืบหาทรัพย์สินที่ถูกขโมย
ที่สำคัญกว่านั้น บริษัทกำลังเปลี่ยนวิธีจัดการกับคอนฟิกที่มีความเสี่ยง ในคำแถลง LayerZero ระบุว่า DVN ของตน “จะไม่ลงนามหรือยืนยันข้อความจากแอปพลิเคชันใด ๆ ที่ใช้การตั้งค่า 1/1” ซึ่งเป็นการเปลี่ยนนโยบายโดยตรงเพื่อป้องกันไม่ให้เกิดซ้ำรูปแบบความล้มเหลวแบบ KelpDAO
บริษัทก็ยังติดต่อไปยังโปรเจกต์ที่ยังใช้การตั้งค่า 1/1 เพื่อย้ายไปสู่โมเดล multi-DVN พร้อมความซ้ำซ้อน โดยถือเป็นการยอมรับโดยปริยายว่าความยืดหยุ่นของคอนฟิกโดยไม่มีกลไกความปลอดภัยที่บังคับใช้ทำให้อนุญาตได้ง่ายเกินไปในทางปฏิบัติ
ภาพการระบุตัวผู้กระทำผิดก็ชัดเจนขึ้นด้วย Chainalysis เชื่อมโยงการโจมตีเข้ากับ Lazarus Group ของเกาหลีเหนือ และโดยเฉพาะ TraderTraitor ขณะที่ Nexus Mutual ระบุว่าข้อความที่ปลอมถูกใช้เพื่อระบายเงิน $292 ล้านออกจากสะพานของ KelpDAO ภายในเวลาไม่ถึง 46 นาที ทำให้เป็นหนึ่งในความสูญเสียครั้งใหญ่ที่สุดของ DeFi ในปี 2026
ผลลัพธ์คือบทเรียนแบบคุ้นเคยแต่โหดร้ายสำหรับโครงสร้างพื้นฐานข้ามสาย: สัญญาอัจฉริยะสามารถยังอยู่ได้โดยไม่เสียหาย และโปรโตคอลยังสามารถล้มเหลวได้จริง หากชั้นความไว้ใจนอกเชน (off-chain trust layer) อ่อนแอพอ ตอนนี้ LayerZero กำลังพยายามชี้ให้พิสูจน์ว่า “บทเรียนที่ถูกต้อง” จากการขโมยสะพานมูลค่า $292 ล้านไม่ใช่ว่า “ความปลอดภัยแบบโมดูลาร์ล้มเหลว” แต่เป็นความผิดพลาดจริงที่การเปิดให้ใครก็ได้รันการตั้งค่าแบบผู้ลงนามคนเดียว (single-signer)
