حمله ۲۹۰ میلیون دلاری به پل کراسچین KelpDAO در ۱۸ آوریل، که توسط LayerZero به گروه Lazarus کره شمالی نسبت داده شده است، بازار دیفای را شوکه کرد و بیش از ۱۳ میلیارد دلار از کل ارزش قفل شده (TVL) در پروتکلها را ظرف ۴۸ ساعت محو کرد.
حمله کنندگان ۱۱۶,۵۰۰ واحد rsETH به ارزش تقریبی ۲۹۰ میلیون دلار را در ۱۸ آوریل از پل کراسچین مبتنی بر LayerZero متعلق به KelpDAO تخلیه کردند؛ آنچه کویندسک آن را بزرگترین اکسپلویت دیفای در سال ۲۰۲۶ تا به امروز نامیده است. LayerZero، که زیرساخت این پل را تامین میکرد، در بیانیهای روز دوشنبه اعلام کرد که «نشانگرهای اولیه، این حمله را به یک عامل دولتی بسیار پیچیده، احتمالا گروه Lazarus کره شمالی (DPRK) نسبت میدهند.»
این حمله با نفوذ به دو نود فراخوانی رویه از راه دور (RPC) که تأیید کننده LayerZero برای تأیید تراکنشهای کراسچین به آنها متکی بود، انجام شد. سپس نودهای پشتیبان با ترافیک بیارزش (junk traffic) پر شدند تا سیستم مجبور به تغییر مسیر به نقاط پایانی آلوده شود. به محض اینکه تأیید کننده تراکنش جعلی را تأیید کرد، پل ۲۹۰ میلیون دلار rsETH را به یک آدرس تحت کنترل مهاجم آزاد کرد. سپس بدافزار خود تخریب شد و فایلهای اجرایی و گزارشها را پاک کرد تا تحقیقات پزشکی قانونی را با مشکل مواجه کند. همانطور که crypto.news گزارش داد، این اکسپلویت منجر به خروج بیش از ۱۰ میلیارد دلار فقط از Aave شد، به طوری که کل ارزش قفل شده (TVL) پروتکل وامدهی از ۴۵.۸ میلیارد دلار به ۳۵.۷ میلیارد دلار کاهش یافت، زیرا کاربران برای خروج هجوم بردند. UPI گزارش داد که بیش از ۱۳ میلیارد دلار از کل ارزش قفل شده (TVL) در پلتفرمهای دیفای در دو روز پس از این نفوذ، محو شد.
بحثی بر سر اینکه چه کسی مسئول آسیبپذیریای است که این حمله را ممکن ساخت، درگرفته است. LayerZero اعلام کرد که KelpDAO پیکربندی شبکه تأییدکننده غیرمتمرکز ۱ از ۱ را انتخاب کرده بود، که یک نقطه شکست واحد است و LayerZero بارها در مورد آن هشدار داده بود، و اعلام کرد که دیگر پیامها را برای هیچ برنامهای که از آن تنظیمات استفاده میکند، امضا نخواهد کرد. KelpDAO در پاسخ به کویندسک گفت که پیکربندی آن از پیشفرضهای مستند خود LayerZero پیروی کرده است و تأییدکننده به خطر افتاده بخشی از زیرساخت خود LayerZero بوده است. همانطور که crypto.news مستند کرده است، محققان امنیتی مستقل از جمله یک توسعهدهنده Yearn Finance دریافتند که کد استقرار عمومی LayerZero با پیشفرضهای تأیید تک منبعی در تمام زنجیرههای اصلی عرضه میشود، که ادعای این شرکت مبنی بر اینکه KelpDAO از دستورالعملها منحرف شده است را تضعیف میکند.
اکسپلویت KelpDAO دومین نفوذ بزرگ دیفای است که تنها در ماه آوریل به گروه Lazarus مرتبط میشود، پس از حمله ۲۸۵ میلیون دلاری به پروتکل Drift در ۱ آوریل، مجموع داراییهای دیفای این گروه در این ماه را به بیش از ۵۷۵ میلیون دلار رساند. مهاجم از آن زمان شروع به پولشویی وجوه سرقت شده کرده و داراییها را از طریق آربیتروم به استیبلکوینهای مبتنی بر ترون هدایت کرده است، همانطور که crypto.news ردیابی کرده است. جفریز هشدار داده است که هکهای برجسته در این مقیاس میتواند به طور موقت تمایل وال استریت به پروژههای توکنسازی را کاهش دهد، زیرا نهادها خطرات امنیتی موجود در زیرساخت پلهای دیفای را مجدداً ارزیابی میکنند. LayerZero اعلام کرد که هیچ گونه سرایتی به سایر برنامههایی که از پیکربندیهای چند تأییدکننده استفاده میکنند، تأیید نشده است، اما مهاجرت پروتکل-گستردهای را از تنظیمات تک تأییدکننده اجباری کرده است.
LayerZero اعلام کرد که با KelpDAO، اتحاد امنیتی (Security Alliance)، و سازمانهای اجرای قانون همکاری میکند تا وجوه سرقت شده را ردیابی کند، اگرچه استفاده مهاجم از ابزارهای حفظ حریم خصوصی، تلاشهای بازیابی را به طور قابل توجهی پیچیده کرده است.
