LayerZero heeft zijn belangrijkste bevindingen over de Kelp DAO-exploit gepubliceerd, waarbij het incident wordt gekoppeld aan Noord-Koreaanse cyberactoren.
Op 18 april verloor de door LayerZero aangedreven cross-chain bridge Kelp DAO 116.500 rsETH-tokens ter waarde van ongeveer $292 miljoen, wat het de grootste DeFi-exploit van dit jaar tot nu toe maakt.
"Voorlopige indicatoren wijzen op toeschrijving aan een zeer geavanceerde staatsactor, waarschijnlijk de Lazarus Groep van de DPRK, meer specifiek TraderTraitor," schreef LayerZero in zijn laatste verklaring.
LayerZero legde uit dat de aanvaller toegang kreeg tot de lijst met RPC-nodes die worden gebruikt door het gedecentraliseerde geverifieerde netwerk (DVN) van LayerZero Labs, dit zijn onafhankelijke entiteiten die de cross-chain berichten verifiëren.
De aanvaller vergiftigde vervolgens twee van die RPC-nodes, waardoor deze een nep cross-chain bericht aan het DVN leverden. De aanvaller lanceerde een DDoS-aanval tegen de schone nodes om het DVN te dwingen te vertrouwen op de vergiftigde nodes.
Omdat Kelp DAO een single 1-op-1 DVN-configuratie gebruikte zonder redundantie, werd het nepbericht geaccepteerd, waardoor de bridge de token kon ontgrendelen. LayerZero gaf Kelp DAO de schuld voor de keuze om met een single-DVN-configuratie te werken.
"Het opereren met een single-point-of-failure configuratie betekende dat er geen onafhankelijke verificator was om een vervalst bericht te onderscheppen en te weigeren," aldus de verklaring. "LayerZero en andere externe partijen hebben eerder best practices over DVN-diversificatie aan KelpDAO gecommuniceerd. Ondanks deze aanbevelingen koos KelpDAO ervoor om een 1/1 DVN-configuratie te gebruiken."
Ondertussen verzekerde de verklaring dat er "geen besmetting" is naar enig ander actief of applicatie.
LayerZero schreef dat het DVN van LayerZero Labs operationeel is en dat alle applicaties met een multi-DVN-configuratie het vertrouwen moeten hebben om de operaties te hervatten. In de toekomst zal LayerZero geen berichten meer ondertekenen van apps die een 1/1 DVN-configuratie gebruiken, aldus de verklaring.
LayerZero werkt samen met meerdere wetshandhavingsinstanties om de zaak verder te onderzoeken en spoort de gestolen fondsen actief op, zo werd toegevoegd.
De aanval op Kelp DAO op 18 april heeft een domino-effect veroorzaakt in de hele sector, met een golf van opnames van Aave en noodstops bij meerdere protocollen als gevolg.
De kwaadwillende actor verplaatste de gestolen tokens naar Aave V3, waar de aanvaller rsETH als onderpand gebruikte om aanzienlijke hoeveelheden WETH te lenen, wat naar verluidt oninbare schulden creëerde op Aave. Als reactie hierop bevroor het protocol de rsETH-markten op zowel V3 als V4 om het risico te beperken.
"RsETH is bevroren op Aave V3 en V4, het actief heeft geen leenkracht als maatregel vanwege de KelpDAO bridge-exploit die buiten Aave plaatsvond," schreef Aave-oprichter Stani Kulechov op X. "Zowel Aave V3 als V4 hebben geen verdere blootstelling aan rsETH."
Ondanks de snelle acties van Aave zag het platform een aanzienlijke uitstroom van fondsen.
Volgens historische gegevens van Aavescan is er sinds de Kelp DAO-exploit meer dan $10 miljard aan fondsen van Aave verplaatst, waarbij het totale aangeboden bedrag daalde tot $35,7 miljard van $45,8 miljard vóór de aanval.
Marc Zeller, de oprichter van de Aave Chan Initiative en een prominente figuur in het Aave-ecosysteem, drong er bij platformgebruikers op aan om snel WETH uit het protocol op te nemen, en schreef: "nu opnemen, vragen stellen later."
Ondertussen ging Aave in op de aanhoudende zorgen door te stellen dat het manieren zal onderzoeken om het tekort te compenseren als het protocol oninbare schulden opbouwt.
De Kelp DAO-exploit heeft tientallen DeFi-protocollen ertoe aangezet hun LayerZero OFT (omnichain fungible token) bridges uit voorzorg te bevriezen. Deze omvatten belangrijke protocollen zoals Ethena, ether.fi, Tron DAO, Curve Finance en vele anderen.
Gegevens van DefiLlama tonen aan dat de totale waarde die in DeFi is vastgezet (TVL) de afgelopen 24 uur met 7% is gedaald. De DeFi TVL bedraagt momenteel ongeveer $86,3 miljard, een daling van $99,5 miljard op 18 april.
"De Kelp DAO-exploit is een andere weerspiegeling van structurele kwetsbaarheden in DeFi, vooral in cross-chain infrastructuur en de ironie van hoe geconcentreerd kritieke beveiligingslagen zijn," zei Min Jung, universitair hoofdonderzoeker bij Presto Research. "Vanuit een vertrouwensperspectief is de timing, na incidenten zoals Drift, schadelijk, aangezien gebruikers zich steeds vaker afvragen of lage rendementen het risico op exploits rechtvaardigen."
De onderzoeker vertelde The Block dat de reeks grote exploits in DeFi waarschijnlijk een verschuiving naar strenger risicobeheer en verbeterd architectonisch ontwerp zal versnellen.
Disclaimer: The Block is een onafhankelijk mediakanaal dat nieuws, onderzoek en data levert. Sinds november 2023 is Foresight Ventures een meerderheidsinvesteerder van The Block. Foresight Ventures investeert in andere bedrijven in de cryptoruimte. Crypto-exchange Bitget is een anker-LP voor Foresight Ventures. The Block blijft onafhankelijk opereren om objectieve, impactvolle en tijdige informatie over de crypto-industrie te leveren. Hier zijn onze huidige financiële openbaarmakingen.
© 2026 The Block. Alle rechten voorbehouden. Dit artikel wordt uitsluitend ter informatie aangeboden. Het is niet bedoeld of aangeboden om te worden gebruikt als juridisch, fiscaal, beleggings-, financieel of ander advies.
