Atak o wartości 290 milionów dolarów na most międzyłańcuchowy KelpDAO, który miał miejsce 18 kwietnia i został przypisany przez LayerZero północnokoreańskiej Grupie Lazarus, wstrząsnął światem DeFi i wymazał ponad 13 miliardów dolarów całkowitej wartości zablokowanej w protokołach w ciągu 48 godzin.
Atakujący wyprowadzili 116 500 rsETH, o wartości około 290 milionów dolarów, z mostu międzyłańcuchowego KelpDAO napędzanego przez LayerZero 18 kwietnia, w tym, co CoinDesk nazwał największym atakiem DeFi w 2026 roku do tej pory. LayerZero, którego infrastruktura stanowiła podstawę mostu, podało w poniedziałkowym oświadczeniu, że „wstępne wskaźniki sugerują przypisanie ataku wysoce wyrafinowanemu aktorowi państwowemu, prawdopodobnie północnokoreańskiej Grupie Lazarus”.
Atak polegał na skompromitowaniu dwóch węzłów zdalnego wywołania procedur (RPC), na których polegał weryfikator LayerZero do potwierdzania transakcji międzyłańcuchowych, a następnie zalewaniu węzłów zapasowych bezwartościowym ruchem, aby zmusić do przełączenia awaryjnego na zatrute punkty końcowe. Gdy weryfikator zatwierdził sfałszowaną transakcję, most zwolnił 290 milionów dolarów w rsETH na adres kontrolowany przez atakującego. Złośliwe oprogramowanie następnie uległo samozniszczeniu, usuwając pliki binarne i logi, aby udaremnić dochodzenie śledcze. Jak podało crypto.news, atak wywołał odpływy o wartości ponad 10 miliardów dolarów z samego Aave, a całkowita wartość zablokowana protokołu pożyczkowego spadła z 45,8 miliarda dolarów do 35,7 miliarda dolarów, gdy użytkownicy w panice wycofywali środki. UPI podało, że ponad 13 miliardów dolarów zostało wymazane z całkowitej wartości zablokowanej w protokołach DeFi w ciągu dwóch dni po naruszeniu.
Wybuchł spór o to, kto ponosi odpowiedzialność za lukę, która umożliwiła atak. LayerZero stwierdziło, że KelpDAO zdecydowało się na konfigurację sieci weryfikatorów 1-z-1, co stanowiło pojedynczy punkt awarii, przed którym wielokrotnie ostrzegało, i ogłosiło, że nie będzie już podpisywać wiadomości dla żadnej aplikacji korzystającej z tej konfiguracji. KelpDAO odparło zarzuty, mówiąc CoinDesk, że jego konfiguracja była zgodna z własnymi udokumentowanymi ustawieniami domyślnymi LayerZero i że skompromitowany walidator był częścią własnej infrastruktury LayerZero. Jak udokumentowało crypto.news, niezależni badacze bezpieczeństwa, w tym deweloper Yearn Finance, odkryli, że publiczny kod wdrożeniowy LayerZero zawiera domyślne ustawienia weryfikacji z jednego źródła we wszystkich głównych łańcuchach, podważając twierdzenie firmy, że KelpDAO odstąpiło od zaleceń.
Atak na KelpDAO to drugie duże naruszenie DeFi powiązane z Lazarusem w samym kwietniu, po ataku na Drift Protocol o wartości 285 milionów dolarów 1 kwietnia, co zwiększa całkowity łup DeFi grupy za ten miesiąc do ponad 575 milionów dolarów. Atakujący rozpoczął już pranie skradzionych środków, kierując aktywa przez Arbitrum i do stablecoinów opartych na Tron, jak śledziło crypto.news. Jefferies ostrzegło, że głośne ataki na taką skalę mogą tymczasowo spowolnić apetyt Wall Street na projekty tokenizacji, ponieważ instytucje ponownie ocenią ryzyka bezpieczeństwa osadzone w infrastrukturze mostów DeFi. LayerZero podało, że potwierdziło zerowe zarażenie innych aplikacji działających w konfiguracjach z wieloma weryfikatorami, ale wymusiło migrację w całym protokole z dala od konfiguracji z pojedynczym walidatorem.
LayerZero podało, że współpracuje z KelpDAO, Sojuszem Bezpieczeństwa i organami ścigania w celu namierzenia skradzionych środków, chociaż użycie przez atakującego narzędzi prywatności znacznie skomplikowało wysiłki na rzecz odzyskania funduszy.
