Isang $290 milyong pag-atake sa cross-chain bridge ng KelpDAO noong Abril 18, na iniugnay ng LayerZero sa Lazarus Group ng North Korea, ang nagdulot ng matinding pagkabahala sa DeFi at nagtanggal ng mahigit $13 bilyon sa total value locked sa iba't ibang protocol sa loob ng 48 oras.
Nahuthot ng mga attacker ang 116,500 rsETH, na nagkakahalaga ng humigit-kumulang $290 milyon, mula sa cross-chain bridge ng KelpDAO na pinapagana ng LayerZero noong Abril 18, sa tinawag ng CoinDesk na pinakamalaking DeFi exploit sa taong 2026 hanggang sa kasalukuyan. Sinabi ng LayerZero, na ang imprastraktura nito ang sumuporta sa bridge, sa isang pahayag noong Lunes na "ang mga paunang indikasyon ay nagmumungkahi ng pag-uugnay sa isang napakakumplikadong state actor, malamang ang Lazarus Group ng DPRK."
Naganap ang pag-atake sa pamamagitan ng pagkompromiso sa dalawang remote procedure call node na pinagkakatiwalaan ng verifier ng LayerZero upang kumpirmahin ang mga cross-chain transaction, pagkatapos ay binaha ang mga backup node ng junk traffic upang piliting mag-failover sa mga compromised na endpoint. Nang aprubahan ng verifier ang isang peke (fabricated) na transaksyon, inilabas ng bridge ang $290 milyon sa rsETH sa isang address na kontrolado ng attacker. Pagkatapos ay kusang nawala ang malware, binura ang mga binaries at logs upang hadlangan ang imbestigasyon. Ayon sa ulat ng crypto.news, nagdulot ang exploit ng mahigit $10 bilyon na paglabas ng pondo mula sa Aave lamang, kung saan ang total value locked ng lending protocol ay bumaba mula $45.8 bilyon tungo sa $35.7 bilyon habang nagmamadali ang mga user na lumabas. Iniulat ng UPI na mahigit $13 bilyon ang nabura mula sa total value locked sa iba't ibang platform ng DeFi sa loob ng dalawang araw pagkatapos ng paglabag.
Isang pagtatalo ang sumiklab kung sino ang may pananagutan sa vulnerability na nagbigay-daan sa pag-atake. Sinabi ng LayerZero na pinili ng KelpDAO na gumana sa isang 1-of-1 decentralized verifier network configuration, isang iisang punto ng kabiguan (single point of failure) na paulit-ulit na nilang binalaan laban, at inihayag na hindi na sila magsa-sign ng mga mensahe para sa anumang application na gumagamit ng ganoong setup. Pinabulaanan ito ng KelpDAO, sinasabi sa CoinDesk na ang konfigurasyon nito ay sumunod sa sariling dokumentadong defaults ng LayerZero at na ang na-compromise na validator ay bahagi ng sariling imprastraktura ng LayerZero. Gaya ng idinokumento ng crypto.news, natuklasan ng mga independiyenteng researcher ng seguridad, kabilang ang isang developer ng Yearn Finance, na ang public deployment code ng LayerZero ay may kasamang single-source verification defaults sa bawat pangunahing chain, na nagpapawalang-bisa sa pahayag ng firm na lumihis ang KelpDAO mula sa kanilang gabay.
Ang KelpDAO exploit ay ang ikalawang pangunahing paglabag sa DeFi na iniuugnay sa Lazarus ngayong Abril lamang, kasunod ng $285 milyong pag-atake sa Drift Protocol noong Abril 1, na nagdulot ng kabuuang nakulimbat ng grupo sa DeFi sa buwan na ito sa mahigit $575 milyon. Simula noon, sinimulan ng attacker na labhan ang mga ninakaw na pondo, iniro-route ang mga asset sa pamamagitan ng Arbitrum at sa mga stablecoin na nakabase sa Tron, tulad ng sinusubaybayan ng crypto.news. Binalaan ng Jefferies na ang mga malalaking hack na tulad nito ay maaaring pansamantalang pabagalin ang interes ng Wall Street sa mga proyekto ng tokenization, habang muling sinusuri ng mga institusyon ang mga panganib sa seguridad na nakapaloob sa imprastraktura ng DeFi bridge. Sinabi ng LayerZero na kinumpirma nitong walang pagkalat (contagion) sa iba pang aplikasyon na gumagana sa multi-verifier configurations, ngunit ipinilit ang isang protocol-wide migration palayo sa mga single-validator setup.
Sinabi ng LayerZero na nakikipagtulungan ito sa KelpDAO, sa Security Alliance, at sa mga ahensya ng pagpapatupad ng batas upang subaybayan ang mga ninakaw na pondo, bagama't labis na pinakumplikado ng paggamit ng attacker ng mga privacy tool ang mga pagsisikap sa pagbawi.
