Default
Door Remote - 05 May 2026
Kelp DAO beweert dat LayerZero-personeel de 1-op-1-verificatieopstelling heeft goedgekeurd, een beslissing die LayerZero sindsdien heeft aangehaald als de reden dat een aan Noord-Korea gelinkte aanvaller ongeveer $ 292 miljoen uit Kelp's rsETH-brug heeft gehaald.
De claim druist in tegen LayerZero's postmortem van 19 april, waarin stond dat Kelp's rsETH-applicatie zich baseerde op LayerZero Labs als enige verificateur en dat de opzet "direct in tegenspraak" was met LayerZero's aanbevolen multi-DVN-model.
Kelp's memo zegt dat LayerZero-personeel de configuraties gedurende meer dan 2,5 jaar en in acht integratiegesprekken heeft beoordeeld, zonder waarschuwing dat een 1-op-1-opstelling een materieel veiligheidsrisico met zich meebracht.
De memo, getiteld ‘Setting the Record Straight Around the LayerZero Bridge Hack’, bevat screenshots van Telegram-uitwisselingen die het bewustzijn van LayerZero en het gebrek aan bezwaar tegen de verificatie-opstelling van Kelp documenteren.
Eén screenshot laat een LayerZero-teamlid zien die zegt: "Ook geen probleem met het gebruik van standaardinstellingen - tag hier gewoon [geredigeerd] omdat hij zei dat je misschien een aangepaste DVN-installatie wilde gebruiken voor het verifiëren van berichten, maar dat laat je aan je team over!" Kelp zegt dat de “standaardwaarden” waarnaar in de uitwisseling wordt verwezen, de 1-van-1 LayerZero Labs DVN-configuratie waren die later door LayerZero werd aangehaald als de installatie op applicatieniveau die de exploit mogelijk maakte.
CoinDesk kon de schermafbeelding niet onafhankelijk verifiëren.
LayerZero's sjablonenKelp wijst ook op LayerZero's bugbounty-scope, OFT Quickstart en voorbeelden van ontwikkelaars als bewijs dat LayerZero verifier-netwerkkeuzes behandelde als configuratie op applicatieniveau, terwijl bouwers een één-DVN-installatie werd getoond.
LayerZero's gepubliceerde bugbounty-bereik op Immunefi sluit "gevolgen voor OApps zelf als gevolg van hun eigen verkeerde configuratie" uit van beloningen, inclusief verificatienetwerken en uitvoerders.
De LayerZero OFT Quickstart en de officiële OFT-voorbeeldconfiguratie op GitHub tonen LayerZero Labs als de vereiste DVN, zonder optionele DVN-set.
De memo van Kelp citeert een bericht van 19 april van Spearbit-beveiligingsonderzoeker Sujith Somraaj, waarin Somraaj zei dat hij een bugbounty-rapport had ingediend waarin hetzelfde aanvalspatroon werd beschreven en dat LayerZero dit had afgewezen.
"Mijn bugbounty: geen vuln, vereist alle DVN's", schreef Somraaj op X. "Hun inzet: verwijdert het 'alle' deel. Hackers: verzamelt in plaats daarvan een premie van $ 295 miljoen." Volgens zijn Cantina-profiel is Somraaj een eerdere LayerZero-auditor.
Kelp verhuist naar ChainlinkKelp zei ook dat het rsETH van LayerZero verplaatst naar het Cross-Chain Interoperability Protocol van Chainlink. De verschuiving verplaatst rSETH van LayerZero's OFT-standaard naar Chainlink's Cross-Chain Token-standaard.
De exploit heeft 116.500 rsETH, ter waarde van ongeveer $ 292 miljoen, van Kelp's LayerZero-aangedreven brug afgevoerd. Twee extra vervalste transacties voor een totaalbedrag van meer dan $100 miljoen werden ondertekend en verwerkt door de LayerZero Labs DVN voordat Kelp zijn contracten pauzeerde, aldus het protocol.
LayerZero zei dat aanvallers waarschijnlijk gelinkt zijn aan de Noord-Koreaanse Lazarus Group, die toegang had tot de lijst met RPC's die worden gebruikt door de LayerZero Labs DVN, twee RPC-nodes heeft gecompromitteerd en de binaire bestanden die daarop draaien, heeft verwisseld.
De aanvallers lanceerden vervolgens een DDoS-aanval op compromisloze RPC-nodes, waardoor een failover naar de vergiftigde werd gedwongen. LayerZero zei dat de DVN vervolgens transacties bevestigde die niet hadden plaatsgevonden.
Kelp beweert dat de 1-op-1-opstelling wijdverspreid was. CoinGecko, onder verwijzing naar gegevens van Dune Analytics, zei dat 47% van de ongeveer 2.665 actieve LayerZero OApp-contracten een 1-op-1 DVN-configuratie hadden gedurende een periode van 90 dagen eindigend rond 22 april, waarbij meer dan $4,5 miljard aan bijbehorende marktwaarde werd blootgesteld aan dezelfde risicoklasse.
LayerZero's postmortem zei dat het protocol "precies functioneerde zoals bedoeld." Het bedrijf zei dat het niet langer berichten zou ondertekenen voor applicaties met een 1-op-1-configuratie, een beleidswijziging die na de hack van kracht werd.
Kelp beweert dat zijn team de exploit aan LayerZero moest melden in plaats van andersom, wat vragen oproept over de monitoring van LayerZero.
De memo beweert ook substantiële overlap in adressen die ADMIN_ROLE zijn toegekend op zowel de LayerZero Labs DVN als de Nethermind DVN, met een lijst van tien op 8 april 2026 en vijf extra op 6 februari 2025. CoinDesk heeft de onchain-claim niet onafhankelijk geverifieerd.
LayerZero heeft niet gereageerd op een verzoek om commentaar door middel van publicatie.
Op ten minste twee geïntegreerde ketens, Dinari en Skale, wordt de LayerZero Labs DVN nog steeds vermeld als de enige beschikbare attestor, volgens de documentatie.
In een verklaring zei een woordvoerder van LayerZero: "Sujith heeft gelijk, 1/1 configuratie valt buiten het bereik van het bugbounty-programma. Onze premie is gericht op kwetsbaarheden in het LayerZero-protocol zelf, in plaats van op configuratiekeuzes op applicatieniveau. Anders zou elke applicatie kunnen inzetten en zichzelf instellen op de enige DVN die op kwaadaardige wijze een beloning kan innen. Wat betreft OFT Defaults en GitHub-voorbeelden: protocolstandaarden op bijna alle paden zijn multi-DVN. In gevallen waarin een 1-op-1-configuratie wordt gebruikt in sjablonen, het verwijst naar een 'DeadDVN'-contract dat berichten afwijst en ontwikkelaars vraagt hun beveiligingsstack correct te configureren voordat ze live gaan. De bewering dat Kelp standaardconfiguraties van LayerZero gebruikte, is onnauwkeurig.
UPDATE (5 mei 2026, 22:22 UTC): Voegt LayerZero-instructie toe.
De claim druist in tegen LayerZero's postmortem van 19 april, waarin stond dat Kelp's rsETH-applicatie zich baseerde op LayerZero Labs als enige verificateur en dat de opzet "direct in tegenspraak" was met LayerZero's aanbevolen multi-DVN-model.
Kelp's memo zegt dat LayerZero-personeel de configuraties gedurende meer dan 2,5 jaar en in acht integratiegesprekken heeft beoordeeld, zonder waarschuwing dat een 1-op-1-opstelling een materieel veiligheidsrisico met zich meebracht.
De memo, getiteld ‘Setting the Record Straight Around the LayerZero Bridge Hack’, bevat screenshots van Telegram-uitwisselingen die het bewustzijn van LayerZero en het gebrek aan bezwaar tegen de verificatie-opstelling van Kelp documenteren.
Eén screenshot laat een LayerZero-teamlid zien die zegt: "Ook geen probleem met het gebruik van standaardinstellingen - tag hier gewoon [geredigeerd] omdat hij zei dat je misschien een aangepaste DVN-installatie wilde gebruiken voor het verifiëren van berichten, maar dat laat je aan je team over!" Kelp zegt dat de “standaardwaarden” waarnaar in de uitwisseling wordt verwezen, de 1-van-1 LayerZero Labs DVN-configuratie waren die later door LayerZero werd aangehaald als de installatie op applicatieniveau die de exploit mogelijk maakte.
CoinDesk kon de schermafbeelding niet onafhankelijk verifiëren.
LayerZero's sjablonenKelp wijst ook op LayerZero's bugbounty-scope, OFT Quickstart en voorbeelden van ontwikkelaars als bewijs dat LayerZero verifier-netwerkkeuzes behandelde als configuratie op applicatieniveau, terwijl bouwers een één-DVN-installatie werd getoond.
LayerZero's gepubliceerde bugbounty-bereik op Immunefi sluit "gevolgen voor OApps zelf als gevolg van hun eigen verkeerde configuratie" uit van beloningen, inclusief verificatienetwerken en uitvoerders.
De LayerZero OFT Quickstart en de officiële OFT-voorbeeldconfiguratie op GitHub tonen LayerZero Labs als de vereiste DVN, zonder optionele DVN-set.
De memo van Kelp citeert een bericht van 19 april van Spearbit-beveiligingsonderzoeker Sujith Somraaj, waarin Somraaj zei dat hij een bugbounty-rapport had ingediend waarin hetzelfde aanvalspatroon werd beschreven en dat LayerZero dit had afgewezen.
"Mijn bugbounty: geen vuln, vereist alle DVN's", schreef Somraaj op X. "Hun inzet: verwijdert het 'alle' deel. Hackers: verzamelt in plaats daarvan een premie van $ 295 miljoen." Volgens zijn Cantina-profiel is Somraaj een eerdere LayerZero-auditor.
Kelp verhuist naar ChainlinkKelp zei ook dat het rsETH van LayerZero verplaatst naar het Cross-Chain Interoperability Protocol van Chainlink. De verschuiving verplaatst rSETH van LayerZero's OFT-standaard naar Chainlink's Cross-Chain Token-standaard.
De exploit heeft 116.500 rsETH, ter waarde van ongeveer $ 292 miljoen, van Kelp's LayerZero-aangedreven brug afgevoerd. Twee extra vervalste transacties voor een totaalbedrag van meer dan $100 miljoen werden ondertekend en verwerkt door de LayerZero Labs DVN voordat Kelp zijn contracten pauzeerde, aldus het protocol.
LayerZero zei dat aanvallers waarschijnlijk gelinkt zijn aan de Noord-Koreaanse Lazarus Group, die toegang had tot de lijst met RPC's die worden gebruikt door de LayerZero Labs DVN, twee RPC-nodes heeft gecompromitteerd en de binaire bestanden die daarop draaien, heeft verwisseld.
De aanvallers lanceerden vervolgens een DDoS-aanval op compromisloze RPC-nodes, waardoor een failover naar de vergiftigde werd gedwongen. LayerZero zei dat de DVN vervolgens transacties bevestigde die niet hadden plaatsgevonden.
Kelp beweert dat de 1-op-1-opstelling wijdverspreid was. CoinGecko, onder verwijzing naar gegevens van Dune Analytics, zei dat 47% van de ongeveer 2.665 actieve LayerZero OApp-contracten een 1-op-1 DVN-configuratie hadden gedurende een periode van 90 dagen eindigend rond 22 april, waarbij meer dan $4,5 miljard aan bijbehorende marktwaarde werd blootgesteld aan dezelfde risicoklasse.
LayerZero's postmortem zei dat het protocol "precies functioneerde zoals bedoeld." Het bedrijf zei dat het niet langer berichten zou ondertekenen voor applicaties met een 1-op-1-configuratie, een beleidswijziging die na de hack van kracht werd.
Kelp beweert dat zijn team de exploit aan LayerZero moest melden in plaats van andersom, wat vragen oproept over de monitoring van LayerZero.
De memo beweert ook substantiële overlap in adressen die ADMIN_ROLE zijn toegekend op zowel de LayerZero Labs DVN als de Nethermind DVN, met een lijst van tien op 8 april 2026 en vijf extra op 6 februari 2025. CoinDesk heeft de onchain-claim niet onafhankelijk geverifieerd.
LayerZero heeft niet gereageerd op een verzoek om commentaar door middel van publicatie.
Op ten minste twee geïntegreerde ketens, Dinari en Skale, wordt de LayerZero Labs DVN nog steeds vermeld als de enige beschikbare attestor, volgens de documentatie.
In een verklaring zei een woordvoerder van LayerZero: "Sujith heeft gelijk, 1/1 configuratie valt buiten het bereik van het bugbounty-programma. Onze premie is gericht op kwetsbaarheden in het LayerZero-protocol zelf, in plaats van op configuratiekeuzes op applicatieniveau. Anders zou elke applicatie kunnen inzetten en zichzelf instellen op de enige DVN die op kwaadaardige wijze een beloning kan innen. Wat betreft OFT Defaults en GitHub-voorbeelden: protocolstandaarden op bijna alle paden zijn multi-DVN. In gevallen waarin een 1-op-1-configuratie wordt gebruikt in sjablonen, het verwijst naar een 'DeadDVN'-contract dat berichten afwijst en ontwikkelaars vraagt hun beveiligingsstack correct te configureren voordat ze live gaan. De bewering dat Kelp standaardconfiguraties van LayerZero gebruikte, is onnauwkeurig.
UPDATE (5 mei 2026, 22:22 UTC): Voegt LayerZero-instructie toe.