Een exploit van $290 miljoen op de cross-chain bridge van KelpDAO op 18 april, door LayerZero toegeschreven aan Noord-Korea's Lazarus Group, veroorzaakte schokgolven in DeFi en vaagde meer dan $13 miljard aan totale vergrendelde waarde over protocollen heen binnen 48 uur weg.
Aanvallers tapten op 18 april 116.500 rsETH, ter waarde van ongeveer $290 miljoen, af van KelpDAO's LayerZero-aangedreven cross-chain bridge, in wat CoinDesk de grootste DeFi-exploit van 2026 tot nu toe heeft genoemd. LayerZero, wiens infrastructuur de bridge ondersteunde, zei maandag in een verklaring dat "voorlopige indicatoren duiden op toeschrijving aan een zeer geavanceerde staatsactor, waarschijnlijk de Lazarus Group van de DPRK."
De aanval werkte door twee remote procedure call-knooppunten te compromitteren waarop de verificateur van LayerZero vertrouwde om cross-chain transacties te bevestigen, en vervolgens back-upknooppunten te overspoelen met junkverkeer om een failover naar de gecompromitteerde eindpunten af te dwingen. Zodra de verificateur een vervalste transactie ondertekende, gaf de bridge $290 miljoen aan rsETH vrij aan een door de aanvaller beheerd adres. De malware vernietigde vervolgens zichzelf, waarbij binaire bestanden en logboeken werden gewist om forensisch onderzoek te frustreren. Zoals crypto.news meldde, leidde de exploit tot meer dan $10 miljard aan uitstroom van Aave alleen, waarbij de totale vergrendelde waarde van het leenprotocol daalde van $45,8 miljard naar $35,7 miljard terwijl gebruikers zich haastten om te vertrekken. UPI meldde dat meer dan $13 miljard werd weggevaagd van de totale vergrendelde waarde over DeFi-platforms in de twee dagen na de inbreuk.
Er is een geschil ontstaan over wie verantwoordelijk is voor de kwetsbaarheid die de aanval mogelijk maakte. LayerZero zei dat KelpDAO had gekozen voor een 1-op-1 gedecentraliseerde verificateurnetwerkconfiguratie, een single point of failure waarvoor het herhaaldelijk had gewaarschuwd, en kondigde aan dat het geen berichten meer zou ondertekenen voor enige applicatie die die opstelling gebruikt. KelpDAO reageerde door CoinDesk te vertellen dat zijn configuratie de eigen gedocumenteerde standaardinstellingen van LayerZero volgde en dat de gecompromitteerde validator deel uitmaakte van LayerZero's eigen infrastructuur. Zoals crypto.news documenteerde, ontdekten onafhankelijke beveiligingsonderzoekers, waaronder een Yearn Finance-ontwikkelaar, dat LayerZero's publieke implementatiecode wordt geleverd met single-source verificatiestandaarden over elke grote keten, wat de bewering van het bedrijf ondermijnt dat KelpDAO was afgeweken van de richtlijnen.
De KelpDAO-exploit is de tweede grote DeFi-inbreuk die in april alleen al aan Lazarus is gekoppeld, na de $285 miljoen kostende Drift Protocol-aanval op 1 april, waardoor de totale DeFi-buit van de groep voor de maand meer dan $575 miljoen bedraagt. De aanvaller is sindsdien begonnen met het witwassen van de gestolen fondsen, door activa via Arbitrum en naar op Tron gebaseerde stablecoins te routeren, zoals crypto.news heeft bijgehouden. Jefferies heeft gewaarschuwd dat spraakmakende hacks van deze omvang de interesse van Wall Street in tokenisatieprojecten tijdelijk kunnen vertragen, aangezien instellingen de beveiligingsrisico's die inherent zijn aan de DeFi bridge-infrastructuur opnieuw beoordelen. LayerZero zei dat het geen besmetting heeft bevestigd voor andere applicaties die multi-verificateur configuraties gebruiken, maar heeft een protocol-brede migratie weg van single-validator opstellingen afgedwongen.
LayerZero zei dat het samenwerkt met KelpDAO, de Security Alliance en wetshandhavingsinstanties om de gestolen fondsen te traceren, hoewel het gebruik van privacy tools door de aanvaller de herstelinspanningen aanzienlijk heeft bemoeilijkt.
