Default
Door Remote - 20 Apr 2026
LayerZero heeft de verantwoordelijkheid voor de $290 miljoen kostende Kelp DAO-exploit op Kelp's eigen beveiligingsconfiguratie gelegd, en zei dat het vloeistofherstelprotocol een single-verifier-opstelling draaide waar LayerZero eerder voor had gewaarschuwd.
Bij de aanval werd gebruik gemaakt van een nieuwe vector die zich richtte op de infrastructuurlaag in plaats van op enige protocolcode.
Aanvallers, die LayerZero met voorlopig vertrouwen toeschreef aan de Noord-Koreaanse Lazarus Group en zijn TraderTraitor-subeenheid, compromitterden twee van de Remote Procedure Call (RPC)-knooppunten waarop de verificateur van LayerZero vertrouwde om cross-chain transacties te bevestigen.
RPC-knooppunten zijn de servers waarmee software gegevens op een blockchain kan lezen en schrijven, en de verificateur van LayerZero gebruikte een mix van interne en externe voor redundantie.
De aanvallers hebben de binaire software die op twee van deze knooppunten draait, vervangen door kwaadaardige versies die zijn ontworpen om de verificateur van LayerZero te vertellen dat er een frauduleuze transactie heeft plaatsgevonden, terwijl ze nauwkeurige gegevens blijven rapporteren aan elk ander systeem dat dezelfde knooppunten bevraagt.
Dat selectieve liegen was ontworpen om de aanval onzichtbaar te houden voor LayerZero's eigen monitoringinfrastructuur, die dezelfde RPC's vanaf verschillende IP-adressen opvraagt.
Het compromitteren van twee knooppunten was niet genoeg. De verificateur van LayerZero ondervroeg ook compromisloze externe RPC-knooppunten, dus voerden de aanvallers een gedistribueerde Denial-of-Service-aanval uit op deze om een failover naar de vergiftigde knooppunten te forceren.
Verkeerslogboeken die LayerZero heeft gedeeld, laten zien dat de DDoS op zaterdag tussen 10:20 uur en 11:40 uur Pacific Time plaatsvond. Zodra de failover was geactiveerd, vertelden de gecompromitteerde knooppunten de verificateur dat er een geldig cross-chain-bericht was aangekomen, en Kelp's bridge gaf 116.500 rsETH vrij aan de aanvallers. De kwaadwillende knooppuntsoftware vernietigt vervolgens zichzelf en wist binaire bestanden en lokale logboeken.
De aanval werkte alleen omdat Kelp een 1-op-1-verificatieconfiguratie draaide, wat betekent dat LayerZero Labs de enige entiteit was die berichten van en naar de rsETH-bridge verifieerde.
De publieke integratiechecklist van LayerZero en de directe communicatie met Kelp hadden een opstelling met meerdere verificateurs met redundantie aanbevolen, waarbij consensus tussen verschillende onafhankelijke verificateurs nodig zou zijn om een bericht te bevestigen. Onder die configuratie zou het vergiftigen van de datafeed van één verificateur niet voldoende zijn geweest om een geldig bericht te vervalsen.
"KelpDAO heeft ervoor gekozen om een 1/1 DVN-configuratie te gebruiken", schreef LayerZero, waarbij hij de term van het protocol gebruikte voor gedecentraliseerde verificatienetwerken. "Een goed versterkte configuratie zou consensus tussen meerdere onafhankelijke DVN's vereisen, waardoor deze aanval zelfs ineffectief zou zijn als een enkele DVN zou worden gecompromitteerd." Alle OFT-standaard tokens en applicaties met multi-verifier-instellingen bleven onaangetast.
De LayerZero Labs-verifier is weer online en het bedrijf zegt dat het niet langer berichten zal ondertekenen voor applicaties met een 1-op-1-configuratie, waardoor een protocolbrede migratie van single-verifier-opstellingen wordt afgedwongen.
Het architecturale onderscheid is van belang voor de manier waarop DeFi het LayerZero-risico in de toekomst prijst.
Een bug op protocolniveau zou hebben geïmpliceerd dat elk OFT-token in elke keten potentieel gevaar liep. Een configuratiefout door een enkele integrator, gecombineerd met een gerichte aanval op de infrastructuur, impliceert echter dat het protocol werkte zoals ontworpen en dat de beveiligingskeuzes van Kelp, en niet de code van LayerZero, de opening creëerden.
Kelp heeft nog niet publiekelijk gereageerd op de framing van LayerZero en heeft ook niet uiteengezet waarom het een 1-op-1-verificatieopstelling hanteerde, ondanks de expliciete aanbevelingen hiertegen.
Lazarus Group is op 1 april gekoppeld aan de Drift Protocol-exploit en nu op 18 april aan Kelp, wat betekent dat dezelfde Noord-Koreaanse eenheid in 18 dagen meer dan $ 575 miljoen aan DeFi heeft onttrokken via twee structureel verschillende aanvalsvectoren: ondertekenaars van social engineering-bestuur bij Drift en het vergiftigen van infrastructuur-RPC's bij Kelp.
De groep past zijn draaiboek sneller aan dan dat DeFi-protocollen hun verdediging versterken.
Bij de aanval werd gebruik gemaakt van een nieuwe vector die zich richtte op de infrastructuurlaag in plaats van op enige protocolcode.
Aanvallers, die LayerZero met voorlopig vertrouwen toeschreef aan de Noord-Koreaanse Lazarus Group en zijn TraderTraitor-subeenheid, compromitterden twee van de Remote Procedure Call (RPC)-knooppunten waarop de verificateur van LayerZero vertrouwde om cross-chain transacties te bevestigen.
RPC-knooppunten zijn de servers waarmee software gegevens op een blockchain kan lezen en schrijven, en de verificateur van LayerZero gebruikte een mix van interne en externe voor redundantie.
De aanvallers hebben de binaire software die op twee van deze knooppunten draait, vervangen door kwaadaardige versies die zijn ontworpen om de verificateur van LayerZero te vertellen dat er een frauduleuze transactie heeft plaatsgevonden, terwijl ze nauwkeurige gegevens blijven rapporteren aan elk ander systeem dat dezelfde knooppunten bevraagt.
Dat selectieve liegen was ontworpen om de aanval onzichtbaar te houden voor LayerZero's eigen monitoringinfrastructuur, die dezelfde RPC's vanaf verschillende IP-adressen opvraagt.
Het compromitteren van twee knooppunten was niet genoeg. De verificateur van LayerZero ondervroeg ook compromisloze externe RPC-knooppunten, dus voerden de aanvallers een gedistribueerde Denial-of-Service-aanval uit op deze om een failover naar de vergiftigde knooppunten te forceren.
Verkeerslogboeken die LayerZero heeft gedeeld, laten zien dat de DDoS op zaterdag tussen 10:20 uur en 11:40 uur Pacific Time plaatsvond. Zodra de failover was geactiveerd, vertelden de gecompromitteerde knooppunten de verificateur dat er een geldig cross-chain-bericht was aangekomen, en Kelp's bridge gaf 116.500 rsETH vrij aan de aanvallers. De kwaadwillende knooppuntsoftware vernietigt vervolgens zichzelf en wist binaire bestanden en lokale logboeken.
De aanval werkte alleen omdat Kelp een 1-op-1-verificatieconfiguratie draaide, wat betekent dat LayerZero Labs de enige entiteit was die berichten van en naar de rsETH-bridge verifieerde.
De publieke integratiechecklist van LayerZero en de directe communicatie met Kelp hadden een opstelling met meerdere verificateurs met redundantie aanbevolen, waarbij consensus tussen verschillende onafhankelijke verificateurs nodig zou zijn om een bericht te bevestigen. Onder die configuratie zou het vergiftigen van de datafeed van één verificateur niet voldoende zijn geweest om een geldig bericht te vervalsen.
"KelpDAO heeft ervoor gekozen om een 1/1 DVN-configuratie te gebruiken", schreef LayerZero, waarbij hij de term van het protocol gebruikte voor gedecentraliseerde verificatienetwerken. "Een goed versterkte configuratie zou consensus tussen meerdere onafhankelijke DVN's vereisen, waardoor deze aanval zelfs ineffectief zou zijn als een enkele DVN zou worden gecompromitteerd." Alle OFT-standaard tokens en applicaties met multi-verifier-instellingen bleven onaangetast.
De LayerZero Labs-verifier is weer online en het bedrijf zegt dat het niet langer berichten zal ondertekenen voor applicaties met een 1-op-1-configuratie, waardoor een protocolbrede migratie van single-verifier-opstellingen wordt afgedwongen.
Het architecturale onderscheid is van belang voor de manier waarop DeFi het LayerZero-risico in de toekomst prijst.
Een bug op protocolniveau zou hebben geïmpliceerd dat elk OFT-token in elke keten potentieel gevaar liep. Een configuratiefout door een enkele integrator, gecombineerd met een gerichte aanval op de infrastructuur, impliceert echter dat het protocol werkte zoals ontworpen en dat de beveiligingskeuzes van Kelp, en niet de code van LayerZero, de opening creëerden.
Kelp heeft nog niet publiekelijk gereageerd op de framing van LayerZero en heeft ook niet uiteengezet waarom het een 1-op-1-verificatieopstelling hanteerde, ondanks de expliciete aanbevelingen hiertegen.
Lazarus Group is op 1 april gekoppeld aan de Drift Protocol-exploit en nu op 18 april aan Kelp, wat betekent dat dezelfde Noord-Koreaanse eenheid in 18 dagen meer dan $ 575 miljoen aan DeFi heeft onttrokken via twee structureel verschillende aanvalsvectoren: ondertekenaars van social engineering-bestuur bij Drift en het vergiftigen van infrastructuur-RPC's bij Kelp.
De groep past zijn draaiboek sneller aan dan dat DeFi-protocollen hun verdediging versterken.