Ang pagsasamantala na nagtangay ng humigit-kumulang $292 milyon mula sa cross-chain bridge ng KelpDAO noong weekend ay "malamang" gawa ng Lazarus Group ng North Korea, partikular ang sub-unit nitong TraderTraitor, ayon sa LayerZero sa isang preliminary analysis noong Lunes.
Tinangay ng mga umaatake ang 116,500 rsETH, isang liquid restaking token na sinusuportahan ng naka-stake na ether, mula sa KelpDAO bridge noong Sabado, na nagdulot ng mga withdrawal sa buong sektor ng decentralized finance na humila ng higit sa $10 bilyon mula sa lending protocol na Aave.
Ang atake ay nagpakita ng mga palatandaan ng "isang lubhang sopistikadong aktor ng estado, malamang ang Lazarus Group ng DPRK," sabi ng LayerZero, na tinukoy ang TraderTraitor sub-unit ng grupo.
Ang mga cyber operations ng North Korea ay nasa ilalim ng Reconnaissance General Bureau, na mayroong ilang magkakaibang unit, kabilang ang TraderTraitor, AppleJeus, APT38, at DangerousPassword, ayon sa isang pagsusuri ng researcher ng Paradigm na si Samczsun.
https://t.co/3vIHs3Xgs4
— LayerZero (@LayerZero_Core) April 20, 2026
Kabilang sa mga sub-unit na ito, ang TraderTraitor ay itinala bilang pinaka-sopistikadong aktor ng DPRK na target ang crypto, na dating iniugnay sa mga kompromiso ng Axie Infinity Ronin Bridge at WazirX.
Sinabi ng LayerZero na gumamit ang KelpDAO ng isang solong verifier upang aprubahan ang mga paglilipat papasok at palabas ng tulay, idinagdag na paulit-ulit nitong hinikayat ang KelpDAO na gumamit ng maraming verifiers sa halip.
Sa hinaharap, sinabi ng LayerZero na hihinto ito sa pag-apruba ng mga mensahe para sa anumang aplikasyon na tumatakbo pa rin sa setup na iyon.
Sinabi ng mga tagamasid na inilantad ng exploit kung paano itinayo ang tulay upang magtiwala sa isang solong verifier.
Ito ay "isang nag-iisang punto ng kabiguan, anuman ang tawag dito sa marketing," sabi ni Shalev Keren, co-founder ng cryptographic security firm na Sodot, sa Decrypt.
Ang isang solong nakompromisong checkpoint ay sapat upang payagan ang mga pondo na umalis sa tulay, at walang audit o pagsusuri sa seguridad ang makakapag-ayos ng depekto na iyon nang hindi "inaalis ang unilateral na tiwala mula sa mismong arkitektura," sabi ni Keren.
Ang pananaw na iyon ay inulit ni Haoze Qiu, Blockchain Lead sa Grvt, na nangatuwiran na, "Ang Kelp DAO ay tila tumanggap ng isang security setup ng tulay na may napakakaunting redundancy para sa isang asset ng ganitong laki," idinagdag na ang LayerZero "ay mayroon ding pananagutan" dahil "ang kompromiso ay kinasangkutan ng imprastraktura na nakatali sa stack ng validator nito, kahit na ito ay hindi inilarawan bilang isang core protocol bug."
Nakalapit ang mga umaatake sa pagtangay ng isa pang $100 milyon sa loob ng tatlong minuto bago sila putulin ng mabilis na blacklist, ayon sa isang pagsusuri ng blockchain security firm na Cyvers. Ang operasyon ay batay sa panloloko sa isang solong channel ng komunikasyon, sinabi ni Cyvers CTO Meir Dolev sa Decrypt.
Ginagamit ng mga umaatake ang dalawa sa mga linya na ginamit ng verifier upang suriin kung talagang naganap ang isang withdrawal sa Unichain, binigyan ito ng isang pekeng "oo" sa mga linyang iyon, pagkatapos ay pinatay ang natitirang mga linya offline upang pilitin ang verifier na umasa sa mga nakompromisong linya.
"Ayos ang vault. Tapat ang bantay. Tamang gumana ang mekanismo ng pinto," sabi ni Dolev. "Ang kasinungalingan ay ibinulong nang direkta sa iisang partido na ang salita ang nagbukas ng pinto."
Ngunit habang ang LayerZero, na ang imprastraktura ang nagpapatakbo sa nalustay na tulay, ay itinuro ang Lazarus bilang posibleng salarin, hindi direktang tinukoy ng Cyvers ang parehong pagkakaugnay sa sarili nitong pagsusuri.
Ang ilang mga pattern ay tumutugma sa mga operasyon na may kaugnayan sa DPRK sa pagiging sopistikado, sukat, at coordinated na pagpapatupad, sabi ni Dolev, ngunit walang wallet clustering na nakatali sa grupo ang nakumpirma.
Ang malisyosong node software ay ininhinyero upang burahin ang sarili nito kapag natapos ang atake, binubura ang mga binaries at logs upang takpan ang bakas ng mga umaatake sa real time at sa post-mortem, idinagdag niya.
Mas maaga ngayong buwan, tinangay ng mga umaatake ang humigit-kumulang $285 milyon mula sa Solana-based perpetuals protocol na Drift, sa isang exploit na kalaunan ay iniugnay sa mga operatiba ng North Korea.
Nabanggit ni Dolev na ang Drift hack ay "lubhang naiiba sa mga paghahanda at pagpapatupad," ngunit parehong mga atake ay nangailangan ng mahabang oras ng paghahanda, malalim na kadalubhasaan, at malaking mapagkukunan upang magawa.
Hinihinala ng Cyvers na ang mga ninakaw na pondo ay inilipat sa Ethereum address na ito, na naaayon sa isang hiwalay na ulat mula sa on-chain investigator na si ZachXBT na nag-flag dito kasama ng apat pa. Ang mga attack address ay pinondohan sa pamamagitan ng coin mixer na Tornado Cash, ayon kay ZachXBT.
