LayerZero bood vrijdag publiekelijk excuses aan voor de afhandeling van de nasleep van de exploit op 18 april, waarbij ongeveer $292 miljoen aan rsETH werd weggesluisd van de cross-chain brug van Kelp DAO. Dit markeert een opmerkelijke toonverschuiving ten opzichte van de eerdere post-mortem waarin het protocol werd gekarakteriseerd als "precies zoals bedoeld functionerend".
"We hebben de afgelopen drie weken een vreselijke communicatie geleverd," schreef LayerZero in de blogpost, die ook werd gedeeld op X. "We wilden prioriteit geven aan volledigheid in de vorm van een uitgebreide post-mortem, maar we hadden directer moeten zijn."
Het protocol verklaarde dat zijn interne RPC-nodes, waarop het Gedecentraliseerde Verificatie Netwerk (DVN) vertrouwde om de status van de bronketen te lezen, waren gecompromitteerd door de Lazarus Group van Noord-Korea. De aanvallers vergiftigden de datafeeds van die nodes en lanceerden tegelijkertijd een DDoS-aanval tegen LayerZero's externe RPC-aanbieders, waardoor de DVN genoodzaakt was om over te schakelen naar gecompromitteerde infrastructuur en transacties goed te keuren die nooit daadwerkelijk hadden plaatsgevonden. LayerZero had de aanval eerder toegeschreven aan de Lazarus-subgroep bekend als TraderTraitor.
De post erkende een punt waar LayerZero zich eerder tegen had verzet: het had zijn DVN niet als enige verificator moeten laten dienen voor transacties met hoge waarde. "Wij zijn van mening dat ontwikkelaars hun eigen beveiligingsconfiguraties moeten kiezen, maar we hebben een fout gemaakt door onze DVN te laten fungeren als een 1/1 DVN voor transacties met hoge waarde," schreef het bedrijf. "We controleerden niet wat onze DVN beveiligt, wat een risico creëerde dat we simpelweg niet zagen."
Deze formulering vertegenwoordigt een aanzienlijke concessie. LayerZero's initiële incidentverklaring legde de schuld volledig bij de configuratiekeuzes van Kelp DAO, waarbij de 1-op-1 DVN-setup werd beschreven als een beslissing die Kelp tegen advies in nam.
Kelp DAO betwistte die verklaring publiekelijk en wees op LayerZero's eigen documentatie, snelstartgidsen en ontwikkelaarvoorbeelden als bewijs dat de single-verifier setup de standaard aanbeveling voor onboarding van het platform was. Een Dune-analyse, aangehaald door Kelp, toonde aan dat 47% van ongeveer 2.665 actieve LayerZero OApp-contracten op het moment van de aanval dezelfde configuratie draaiden.
LayerZero verklaarde dat de exploit een enkele applicatie trof, wat ongeveer 0,14% van het totale aantal applicaties op het netwerk en ongeveer 0,36% van de waarde van activa die LayerZero gebruiken vertegenwoordigt. Het voegde eraan toe dat meer dan $9 miljard via het protocol is verplaatst sinds 19 april.
De blogpost onthulde ook een voorheen ongemeld operationeel beveiligingsincident. Ongeveer drie en een half jaar geleden gebruikte een van LayerZero's multisig-ondertekenaars hun productie-hardwarewallet om een persoonlijke transactie uit te voeren, met de bedoeling een apart persoonlijk apparaat te gebruiken. LayerZero zei dat de ondertekenaar werd verwijderd uit de multisig, wallets werden geroteerd, en het bedrijf heeft sindsdien anomaliedetectiesoftware toegevoegd aan elk ondertekend apparaat.
De openbaarmaking komt te midden van afzonderlijke, voortdurende controle op de operationele beveiliging van LayerZero's multisig-ondertekenaars. On-chain onderzoekers en beveiligingsfiguren, waaronder Chainlink community liaison Zach Rynes, hadden bewijs aangevoerd dat productie multisig-sleutels werden gebruikt voor niet-gerelateerde DEX-activiteiten, waaronder wat leek op een ruil voor de memecoin McPepes op Uniswap. LayerZero CEO Bryan Pellegrino zei dat de transacties OFT-tests waren door voormalige ondertekenaars die sindsdien zijn verwijderd.
LayerZero schetste een reeks wijzigingen die het heeft doorgevoerd sinds de exploit. Het LayerZero Labs DVN ondersteunt geen 1/1 DVN-configuraties meer. Standaardinstellingen op alle paden worden gemigreerd om waar mogelijk minimaal vijf verificatoren te vereisen, met een minimum van drie op ketens waar slechts drie DVN's beschikbaar zijn. Het bedrijf bouwt ook een tweede DVN-client geschreven in Rust voor clientdiversiteit en heeft zijn RPC-configuratie opnieuw geconfigureerd om meer gedetailleerde quorumcontroles mogelijk te maken tussen interne en externe node-aanbieders.
Aan de infrastructuurkant zei LayerZero dat het van plan is zijn eigen multisig-drempel te verhogen van 3-uit-5 naar 7-uit-10 met behulp van OneSig, een open-source multisig-tool die het bedrijf vorig jaar introduceerde. OneSig stelt ondertekenaars in staat transacties lokaal te downloaden en te hashen voordat ze ondertekenen, waardoor de backend geen ongeautoriseerde transacties kan invoegen. LayerZero zei ook dat het een platform genaamd Console bouwt voor asset-uitgevers om beveiligingsinstellingen te configureren en te bewaken, met ingebouwde anomaliedetectie voor het markeren van risicovolle configuraties.
De excuses komen op een moeilijk moment voor LayerZero. Twee belangrijke protocollen hebben hun cross-chain infrastructuur gemigreerd naar Chainlink's CCIP in de weken sinds de exploit. Kelp DAO kondigde eerder deze week zijn vertrek aan, waarmee het het eerste grote protocol werd dat LayerZero verliet sinds de hack. Solv Protocol volgde en kondigde aan dat het meer dan $700 miljoen aan getokeniseerde bitcoin van LayerZero zou verplaatsen, onder verwijzing naar beveiligingsproblemen.
Ondertussen heeft het DeFi United herstelinitiatief, opgericht in de nasleep van de exploit, meer dan $300 miljoen aan ETH en stablecoins opgehaald. LayerZero droeg 10.000 ETH bij, verdeeld over een donatie van 5.000 ETH en een lening van 5.000 ETH aan Aave, dat geconfronteerd wordt met een geschatte $124 miljoen tot $230 miljoen aan dubieuze debiteuren uit het incident. De Arbitrum DAO stemde voor het vrijgeven van 30.766 bevroren ETH voor de herstelpoging, en een rechter stond vrijdag de overdracht toe ondanks een dwangbevel van Noord-Koreaanse terreurslachtoffers en schuldeisers.
LayerZero zei dat een officiële post-mortem zal volgen zodra de externe beveiligingspartners hun werk hebben afgerond.
Disclaimer: The Block is een onafhankelijke media-uitlaatklep die nieuws, onderzoek en data levert. Sinds november 2023 is Foresight Ventures een meerderheidsinvesteerder van The Block. Foresight Ventures investeert in andere bedrijven in de crypto-ruimte. Crypto-exchange Bitget is een anker-LP voor Foresight Ventures. The Block blijft onafhankelijk opereren om objectieve, impactvolle en tijdige informatie te leveren over de crypto-industrie. Hier zijn onze huidige financiële openbaarmakingen.
© 2026 The Block. Alle Rechten Voorbehouden. Dit artikel wordt uitsluitend ter informatie aangeboden. Het is niet bedoeld of aangeboden om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
