Default
Door Remote - 20 Apr 2026
De populaire Spiderman-meme waarin drie identieke superhelden met de vingers naar elkaar wijzen, beleeft vandaag zijn crypto-moment.
Kelp DAO is van plan terug te dringen op LayerZero's post-mortem van de $290 miljoen kostende exploit van zondag, waarbij Kelp in wezen de schuld wordt gegeven, vertelde een L2-bron die bekend is met de zaak aan CoinDesk. Kelp is van plan de bewering van het cross-chain messaging-bedrijf te betwisten dat het herhaalde waarschuwingen negeerde om af te stappen van een single-verifier-opstelling. CoinDesk heeft de discussies van het bedrijf beoordeeld en geverifieerd.
Kelp is een protocol voor het terugnemen van vloeistoffen dat door de gebruiker gedeponeerde ether gebruikt, deze door een opbrengstgenererend systeem genaamd EigenLayer leidt en in ruil daarvoor een ontvangsttoken, rsETH, uitgeeft.
LayerZero is de cross-chain messaging-infrastructuur die rsETH tussen blockchains verplaatst, waarbij gebruik wordt gemaakt van entiteiten die DVN’s (gedecentraliseerde verificatienetwerken) worden genoemd om te verifiëren of een cross-chain overdracht geldig is.
Zaterdag hebben aanvallers 116.500 rsETH, ter waarde van ongeveer $290 miljoen, uit Kelp's LayerZero-aangedreven brug gehaald door de servers te vergiftigen waarop de verificateur van LayerZero vertrouwde om transacties te controleren.
Kelp, aldus de bron, is van plan te zeggen dat de DVN die werd gecompromitteerd via wat zij een “geavanceerde, door de staat gesponsorde aanval” noemt, LayerZero’s eigen infrastructuur was, en niet een externe verificateur.
Aanvallers hebben twee van LayerZero's eigen servers gecompromitteerd die controleren of cross-chain transacties legitiem zijn, en vervolgens de back-upservers overspoeld met junkverkeer om de verificateur van LayerZero op de gecompromitteerde servers te dwingen.
Al die infrastructuur werd gebouwd en beheerd door LayerZero, en niet door Kelp, beweerde de bron.
De bron betwistte LayerZero's framing van de "1/1-configuratie" als een marginale keuze die tegen de richtlijnen in was gemaakt. LayerZero's post-mortem zei dat KelpDAO voor een 1-op-1 DVN-opstelling koos, ondanks het doen van aanbevelingen om multi-DVN-redundantie te configureren.
Een "1/1-configuratie" betekent dat slechts één enkele validator een cross-chain-bericht hoeft af te tekenen voordat de bridge erop kan reageren, waardoor het systeem geen tweede controle meer heeft om een gecompromitteerde of vervalste instructie op te vangen. Een multi-validatorconfiguratie (zoals 2/3, 3/5, enz.) zorgt ervoor dat er geen enkel storingspunt is dat een vervalst bericht op zichzelf kan goedkeuren.
Ze voegden eraan toe dat ze, via een direct communicatiekanaal met LayerZero, dat sinds juli 2024 open is, geen specifieke aanbeveling voor Kelp hebben gedaan om de rsETH DVN-configuratie te wijzigen.
LayerZero's eigen snelstartgids en standaard GitHub-configuratie wijzen op een 1/1 DVN-installatie, vertelde de bron aan CoinDesk, waarbij 40% van de protocollen op LayerZero momenteel dezelfde configuratie gebruiken.
De configuratie die Kelp uitvoerde, verschijnt ook in LayerZero's eigen V2 OApp Quickstart, waar het voorbeeld layerzero.config.ts elk pad bedraadt met één vereiste DVN en geen optionele DVN's. Dat is dezelfde 1/1-structuur.
De kerncontracten voor het hernemen van Kelp werden niet aangetast en de exploit werd geïsoleerd tot de bruglaag, voegde ze eraan toe. De noodpauze, 46 minuten na de drain, blokkeerde twee vervolgpogingen die nog eens ~$200 miljoen aan rsETH zouden hebben vrijgemaakt.
CoinDesk nam contact op met LayerZero voor commentaar op het verhaal en hoorde nog niets op het moment van publicatie.
'Verantwoordelijkheid afwenden' Beveiligingsonderzoekers kopen ook niet de geïsoleerde framing van LayerZero, die de schuld op Kelp legde.
Kelp is een protocol voor het terugnemen van vloeistoffen. De kerncompetentie is het staken van infrastructuur, EigenLayer-integratie en het beheer van liquide staking-tokens. Bij de integratie met LayerZero vertrouwde Kelp op de documentatie van LayerZero, hun standaardinstellingen en de begeleiding van hun team om configuratiebeslissingen te nemen, beweerde de bron.
Yearn Finance kernteamontwikkelaar Artem K, in de volksmond bekend als @banteg op X, plaatste een technische recensie van de openbare implementatiecode van LayerZero en zei dat de referentie-installatie wordt geleverd met standaard verificatie van één bron in elke grote keten, inclusief Ethereum, BSC, Polygon, Arbitrum en Optimism.
Die implementatie laat ook een openbaar eindpunt bloot dat de lijst met geconfigureerde servers lekt naar iedereen die ernaar vraagt.
Banteg gaf in zijn analyse aan dat hij niet kan bewijzen welke configuratie Kelp gebruikte, maar merkte op dat LayerZero nieuwe operators gewoonlijk vraagt om de standaardconfiguratie te gebruiken, wat post-mortem bekritiseerde.
Chainlink-communitymanager Zach Rynes zette het botweg op X en beweerde dat LayerZero "de verantwoordelijkheid afwees" voor zijn eigen gecompromitteerde infrastructuur en beschuldigde het bedrijf ervan Kelp onder de bus te gooien omdat het vertrouwde op een opzet die LayerZero zelf ondersteunde.
Als zodanig heeft LayerZero gezegd dat het niet langer berichten zal ondertekenen voor applicaties met een single-verifier-opstelling, waardoor een protocolbrede migratie wordt afgedwongen.
In een verklaring op maandagmiddag op X bevestigde Kelp DAO de eerdere rapportage van CoinDesk en zei dat de 1-op-1 DVN-opstelling in het centrum van het incident de gedocumenteerde standaardconfiguratie van LayerZero weerspiegelt. Het team voegde eraan toe dat het sinds januari 2024 op de LayerZero-infrastructuur opereert en nauwe communicatie onderhoudt met het LayerZero-team, ook tijdens de L2-uitbreiding toen, naar eigen zeggen, de standaardconfiguratie expliciet als passend werd bevestigd. "Het opstellen van een gedeeld en accuraat verslag van wat er is gebeurd, is de basis om samen de juiste oplossingen te vinden", schreef het team in hun bericht.
Op hun beurt werkt het team achter LayerZero aan "het verbeteren van de beveiliging van elke mogelijke vector voor applicaties", zei mede-oprichter Bryan Pellegrino in een bericht op X (voorheen Twitter). Hij zei dat de eerste onderzoeken "grotendeels waren opgelost" en dat het team binnenkort meer updates zou publiceren.
Lees meer: 'DeFi is dood': cryptogemeenschap worstelt nadat de grootste hack van dit jaar besmettingsrisico blootlegt
UPDATE (20 april 2026, 21:27 UTC): Kelp DAO-instructie toegevoegd.
UPDATE (20 april 2026, 21:45 UTC): Voegt LayerZero-instructie toe.
Kelp DAO is van plan terug te dringen op LayerZero's post-mortem van de $290 miljoen kostende exploit van zondag, waarbij Kelp in wezen de schuld wordt gegeven, vertelde een L2-bron die bekend is met de zaak aan CoinDesk. Kelp is van plan de bewering van het cross-chain messaging-bedrijf te betwisten dat het herhaalde waarschuwingen negeerde om af te stappen van een single-verifier-opstelling. CoinDesk heeft de discussies van het bedrijf beoordeeld en geverifieerd.
Kelp is een protocol voor het terugnemen van vloeistoffen dat door de gebruiker gedeponeerde ether gebruikt, deze door een opbrengstgenererend systeem genaamd EigenLayer leidt en in ruil daarvoor een ontvangsttoken, rsETH, uitgeeft.
LayerZero is de cross-chain messaging-infrastructuur die rsETH tussen blockchains verplaatst, waarbij gebruik wordt gemaakt van entiteiten die DVN’s (gedecentraliseerde verificatienetwerken) worden genoemd om te verifiëren of een cross-chain overdracht geldig is.
Zaterdag hebben aanvallers 116.500 rsETH, ter waarde van ongeveer $290 miljoen, uit Kelp's LayerZero-aangedreven brug gehaald door de servers te vergiftigen waarop de verificateur van LayerZero vertrouwde om transacties te controleren.
Kelp, aldus de bron, is van plan te zeggen dat de DVN die werd gecompromitteerd via wat zij een “geavanceerde, door de staat gesponsorde aanval” noemt, LayerZero’s eigen infrastructuur was, en niet een externe verificateur.
Aanvallers hebben twee van LayerZero's eigen servers gecompromitteerd die controleren of cross-chain transacties legitiem zijn, en vervolgens de back-upservers overspoeld met junkverkeer om de verificateur van LayerZero op de gecompromitteerde servers te dwingen.
Al die infrastructuur werd gebouwd en beheerd door LayerZero, en niet door Kelp, beweerde de bron.
De bron betwistte LayerZero's framing van de "1/1-configuratie" als een marginale keuze die tegen de richtlijnen in was gemaakt. LayerZero's post-mortem zei dat KelpDAO voor een 1-op-1 DVN-opstelling koos, ondanks het doen van aanbevelingen om multi-DVN-redundantie te configureren.
Een "1/1-configuratie" betekent dat slechts één enkele validator een cross-chain-bericht hoeft af te tekenen voordat de bridge erop kan reageren, waardoor het systeem geen tweede controle meer heeft om een gecompromitteerde of vervalste instructie op te vangen. Een multi-validatorconfiguratie (zoals 2/3, 3/5, enz.) zorgt ervoor dat er geen enkel storingspunt is dat een vervalst bericht op zichzelf kan goedkeuren.
Ze voegden eraan toe dat ze, via een direct communicatiekanaal met LayerZero, dat sinds juli 2024 open is, geen specifieke aanbeveling voor Kelp hebben gedaan om de rsETH DVN-configuratie te wijzigen.
LayerZero's eigen snelstartgids en standaard GitHub-configuratie wijzen op een 1/1 DVN-installatie, vertelde de bron aan CoinDesk, waarbij 40% van de protocollen op LayerZero momenteel dezelfde configuratie gebruiken.
De configuratie die Kelp uitvoerde, verschijnt ook in LayerZero's eigen V2 OApp Quickstart, waar het voorbeeld layerzero.config.ts elk pad bedraadt met één vereiste DVN en geen optionele DVN's. Dat is dezelfde 1/1-structuur.
De kerncontracten voor het hernemen van Kelp werden niet aangetast en de exploit werd geïsoleerd tot de bruglaag, voegde ze eraan toe. De noodpauze, 46 minuten na de drain, blokkeerde twee vervolgpogingen die nog eens ~$200 miljoen aan rsETH zouden hebben vrijgemaakt.
CoinDesk nam contact op met LayerZero voor commentaar op het verhaal en hoorde nog niets op het moment van publicatie.
'Verantwoordelijkheid afwenden' Beveiligingsonderzoekers kopen ook niet de geïsoleerde framing van LayerZero, die de schuld op Kelp legde.
Kelp is een protocol voor het terugnemen van vloeistoffen. De kerncompetentie is het staken van infrastructuur, EigenLayer-integratie en het beheer van liquide staking-tokens. Bij de integratie met LayerZero vertrouwde Kelp op de documentatie van LayerZero, hun standaardinstellingen en de begeleiding van hun team om configuratiebeslissingen te nemen, beweerde de bron.
Yearn Finance kernteamontwikkelaar Artem K, in de volksmond bekend als @banteg op X, plaatste een technische recensie van de openbare implementatiecode van LayerZero en zei dat de referentie-installatie wordt geleverd met standaard verificatie van één bron in elke grote keten, inclusief Ethereum, BSC, Polygon, Arbitrum en Optimism.
Die implementatie laat ook een openbaar eindpunt bloot dat de lijst met geconfigureerde servers lekt naar iedereen die ernaar vraagt.
Banteg gaf in zijn analyse aan dat hij niet kan bewijzen welke configuratie Kelp gebruikte, maar merkte op dat LayerZero nieuwe operators gewoonlijk vraagt om de standaardconfiguratie te gebruiken, wat post-mortem bekritiseerde.
Chainlink-communitymanager Zach Rynes zette het botweg op X en beweerde dat LayerZero "de verantwoordelijkheid afwees" voor zijn eigen gecompromitteerde infrastructuur en beschuldigde het bedrijf ervan Kelp onder de bus te gooien omdat het vertrouwde op een opzet die LayerZero zelf ondersteunde.
Als zodanig heeft LayerZero gezegd dat het niet langer berichten zal ondertekenen voor applicaties met een single-verifier-opstelling, waardoor een protocolbrede migratie wordt afgedwongen.
In een verklaring op maandagmiddag op X bevestigde Kelp DAO de eerdere rapportage van CoinDesk en zei dat de 1-op-1 DVN-opstelling in het centrum van het incident de gedocumenteerde standaardconfiguratie van LayerZero weerspiegelt. Het team voegde eraan toe dat het sinds januari 2024 op de LayerZero-infrastructuur opereert en nauwe communicatie onderhoudt met het LayerZero-team, ook tijdens de L2-uitbreiding toen, naar eigen zeggen, de standaardconfiguratie expliciet als passend werd bevestigd. "Het opstellen van een gedeeld en accuraat verslag van wat er is gebeurd, is de basis om samen de juiste oplossingen te vinden", schreef het team in hun bericht.
Op hun beurt werkt het team achter LayerZero aan "het verbeteren van de beveiliging van elke mogelijke vector voor applicaties", zei mede-oprichter Bryan Pellegrino in een bericht op X (voorheen Twitter). Hij zei dat de eerste onderzoeken "grotendeels waren opgelost" en dat het team binnenkort meer updates zou publiceren.
Lees meer: 'DeFi is dood': cryptogemeenschap worstelt nadat de grootste hack van dit jaar besmettingsrisico blootlegt
UPDATE (20 april 2026, 21:27 UTC): Kelp DAO-instructie toegevoegd.
UPDATE (20 april 2026, 21:45 UTC): Voegt LayerZero-instructie toe.