Деталі експлойту $292M KelpDAO в LayerZero та посилення безпеки мосту

LayerZero Labs опублікувала свій інцидентний звіт про атаку на міст KelpDAO, заявивши, що приблизно 292 мільйони доларів у rsETH були викрадені після того, як атакувальники отруїли RPC-інфраструктуру, що використовувалась його мережею перевірки, і змусили внести зміни в політиках щодо конфігурацій із єдиним підписантом.
Звіт

• LayerZero заявила, що KelpDAO було використано для атаки на суму близько 290 мільйонів доларів, або приблизно 116 500 rsETH, у розбитій атаці, ізольованій до одно-DVN налаштування rsETH.
• Компанія повідомила, що попередні індикатори вказують на зв’язаного з КНДР TraderTraitor, і охарактеризувала експлойт як компрометацію інфраструктури, а не ваду протоколу.
• LayerZero заявила, що зупинить підписання повідомлень для застосунків, які використовують конфігурації 1/1 DVN, і просуває постраждалих інтеграторів до багатошарової DVN-надмірності.

LayerZero Labs опублікувала детальний виклад експлойту KelpDAO, підтвердивши, що атакувальники викрали приблизно 116 500 rsETH, вартістю близько 292 мільйони доларів, скомпрометувавши низхідну інфраструктуру, пов’язану з рівнем перевірки, який використовується в кросчейн-конфігурації KelpDAO.

Компанія заявила, що інцидент був обмежений rsETH-налаштуванням KelpDAO, оскільки застосунок спирався на конфігурацію 1-of-1 DVN із LayerZero Labs як єдиним верифікатором — дизайн, який LayerZero, як стверджує, напряму суперечив чинній рекомендації компанії використовувати диверсифіковані багатo-DVN налаштування з надмірністю.

У своєму повідомленні LayerZero заявила, що було «нульове поширення на будь-які інші кросчейн-активи або застосунки», стверджуючи, що модульна архітектура безпеки протоколу містила зону ураження, навіть попри те, що одна конфігурація рівня застосунку дала збій.

Як працювала атака {#how-the-attack-worked}

Згідно зі звітом LayerZero, атака, що сталася 18 квітня 2026 року, націлювалась на RPC-інфраструктуру, на яку спирається DVN від LayerZero Labs, а не на експлуатацію самого протоколу LayerZero, керування ключами чи DVN-програмного забезпечення.

Компанія повідомила, що атакувальники отримали доступ до списку RPC, які використовує DVN, скомпрометували два вузли, що працювали в окремих кластерах, замінили бінарні файли на op-geth-вузлах, а потім використали зловмисні корисні навантаження, щоб подавати верифікатору сфальшовані дані транзакцій, водночас повертаючи правдиві дані на інші кінцеві точки, зокрема внутрішні сервіси моніторингу.

Щоб завершити експлойт, атакувальники також запустили DDoS-атаки на незахоплені кінцеві точки RPC, що спричинило фейловер у бік отруєних вузлів і дало змогу DVN від LayerZero Labs підтвердити транзакції, які насправді ніколи не відбувалися.

Робота з цифровою криміналістикою в цілому узгоджується з цим описом. Chainalysis заявила, що пов’язані з КНДР атакувальники з групи Lazarus, зокрема TraderTraitor, не експлуатували баг у смартконтракті, а натомість сфальсифікували кросчейн-повідомлення, отруївши внутрішні RPC-вузли та перевантаживши зовнішні — в одноточковому налаштуванні верифікації з відмовою в одній точці.

Зміни безпеки {#security-changes}

LayerZero заявила, що негайна відповідь включала відмову від застарілих і заміну всіх уражених RPC-вузлів, відновлення роботи DVN від LayerZero Labs та звернення до правоохоронних органів із паралельною співпрацею з партнерами в індустрії і Seal911 для відстеження вкрадених коштів.

Найважливіше — компанія змінює спосіб роботи з ризиковими конфігураціями. У повідомленні LayerZero сказала, що її DVN «не підписуватиме та не засвідчуватиме повідомлення від будь-яких застосунків, які використовують конфігурацію 1/1», — прямий зсув політики, спрямований на запобігання повторенню сценарію збою KelpDAO.

Компанія також виходить на проєкти, які досі використовують конфігурації 1/1, щоб мігрувати їх до моделей з багатою DVN-надмірністю, фактично визнаючи, що гнучкість конфігурацій без примусових запобіжних обмежень на практиці виявилась надто ліберальною.

Картинка з атрибуцією також стала чіткішою. Chainalysis пов’язала експлойт із групою Lazarus від КНДР і зокрема TraderTraitor, тоді як Nexus Mutual повідомила, що сфальшоване повідомлення вивело 292 мільйони доларів із мосту KelpDAO менш ніж за 46 хвилин, зробивши це однією з найбільших втрат DeFi у 2026 році.

Наслідок — знайомий, але жорстокий урок для кросчейн-інфраструктури: смартконтракти можуть залишатися цілими, а протокол усе одно може зазнати невдачі на практиці, якщо позачейн-верстві довіри бракує міцності. Тепер LayerZero намагається довести, що правильний висновок із крадіжки мосту на 292 мільйони доларів полягає не в тому, що модульна безпека зазнала краху, а в тому, що дозволяти будь-кому запускати налаштування з одним підписантом було реальною помилкою.