A LayerZero emitiu um pedido de desculpas público na sexta-feira pela forma como lidou com as consequências do exploit de 18 de abril que drenou aproximadamente US$ 292 milhões em rsETH da ponte cross-chain da Kelp DAO, marcando uma notável mudança de tom em relação ao seu post-mortem anterior que caracterizava o protocolo como tendo "funcionou exatamente como pretendido".
"Fizemos um trabalho terrível em comunicações nas últimas três semanas", escreveu LayerZero na postagem do blog, também compartilhada no X. "Queríamos priorizar a completude na forma de um post-mortem abrangente, mas deveríamos ter sido mais diretos".
O protocolo afirmou que seus nós RPC internos, nos quais sua Rede de Verificadores Descentralizados (DVN) confiava para ler o estado da cadeia de origem, foram comprometidos pelo Lazarus Group da Coreia do Norte. Os atacantes envenenaram os feeds de dados desses nós enquanto lançavam simultaneamente um ataque DDoS contra os provedores RPC externos da LayerZero, forçando a DVN a recorrer à infraestrutura comprometida e a autorizar transações que nunca ocorreram. A LayerZero havia atribuído anteriormente o ataque ao subgrupo Lazarus conhecido como TraderTraitor.
A postagem reconheceu um ponto ao qual a LayerZero havia resistido anteriormente: não deveria ter permitido que sua DVN servisse como único verificador para transações de alto valor. "Acreditamos que os desenvolvedores devem escolher suas próprias configurações de segurança, mas cometemos um erro ao permitir que nossa DVN atuasse como uma DVN 1/1 para transações de alto valor", escreveu a empresa. "Não policiamos o que nossa DVN estava protegendo, o que criou um risco que simplesmente não vimos".
Essa abordagem representa uma concessão significativa. A declaração inicial de incidente da LayerZero culpava diretamente as escolhas de configuração da Kelp DAO, descrevendo a configuração DVN 1-de-1 como uma decisão que a Kelp tomou contra as orientações.
A Kelp DAO contestou publicamente essa versão, apontando para a própria documentação da LayerZero, guias de início rápido e exemplos para desenvolvedores como prova de que a configuração de verificador único era a recomendação padrão de integração da plataforma. Uma análise da Dune citada pela Kelp descobriu que 47% dos aproximadamente 2.665 contratos LayerZero OApp ativos estavam executando a mesma configuração no momento do ataque.
A LayerZero disse que o exploit afetou uma única aplicação, representando aproximadamente 0,14% do total de aplicações na rede e cerca de 0,36% do valor dos ativos usando LayerZero. Adicionou que mais de US$ 9 bilhões foram movimentados pelo protocolo desde 19 de abril.
A postagem do blog também revelou um incidente de segurança operacional não reportado anteriormente. Há cerca de três anos e meio, um dos signatários multisig da LayerZero usou sua carteira de hardware de produção para executar uma negociação pessoal, pretendendo usar um dispositivo pessoal separado. A LayerZero disse que o signatário foi removido do multisig, as carteiras foram rotacionadas, e a empresa adicionou desde então software de detecção de anomalias a cada dispositivo de assinatura.
A divulgação surge em meio a um escrutínio contínuo e separado sobre a segurança operacional dos signatários multisig da LayerZero. Pesquisadores on-chain e figuras de segurança, incluindo o contato da comunidade Chainlink, Zach Rynes, haviam sinalizado evidências de que chaves multisig de produção foram usadas para atividades DEX não relacionadas, incluindo o que parecia ser uma troca pela memecoin McPepes na Uniswap. O CEO da LayerZero, Bryan Pellegrino, disse que as transações eram testes OFT feitos por ex-signatários que foram removidos desde então.
A LayerZero delineou um conjunto de mudanças que fez desde o exploit. A DVN da LayerZero Labs não atende mais às configurações DVN 1/1. As configurações padrão em todos os caminhos estão sendo migradas para exigir pelo menos cinco verificadores, onde possível, com um mínimo de três em cadeias onde apenas três DVNs estão disponíveis. A empresa também está construindo um segundo cliente DVN escrito em Rust para diversidade de clientes e reconfigurou sua configuração RPC para permitir controles de quórum mais granulares entre provedores de nós internos e externos.
Do lado da infraestrutura, a LayerZero disse que planeja aumentar seu próprio limite multisig de 3-de-5 para 7-de-10 usando OneSig, uma ferramenta multisig de código aberto que a empresa introduziu no ano passado. O OneSig permite que os signatários baixem as transações e as façam hash localmente antes de assinar, impedindo que o backend insira transações não autorizadas. A LayerZero também disse que está construindo uma plataforma chamada Console para emissores de ativos configurarem e monitorarem as configurações de segurança, com detecção de anomalias integrada para sinalizar configurações arriscadas.
O pedido de desculpas chega em um momento difícil para a LayerZero. Dois grandes protocolos migraram sua infraestrutura cross-chain para o CCIP da Chainlink nas semanas desde o exploit. A Kelp DAO anunciou sua saída no início desta semana, tornando-se o primeiro grande protocolo a deixar a LayerZero desde o hack. O Solv Protocol seguiu, anunciando que moveria mais de US$ 700 milhões em bitcoin tokenizado para fora da LayerZero, citando preocupações de segurança.
Enquanto isso, a iniciativa de recuperação DeFi United, formada após o exploit, arrecadou mais de US$ 300 milhões em ETH e stablecoins. A LayerZero contribuiu com 10.000 ETH, divididos entre uma doação de 5.000 ETH e um empréstimo de 5.000 ETH para a Aave, que enfrenta uma dívida incobrável estimada entre US$ 124 milhões e US$ 230 milhões devido ao incidente. A Arbitrum DAO votou para liberar 30.766 ETH congelados para o esforço de recuperação, e um juiz na sexta-feira permitiu que a transferência continuasse apesar de uma notificação de restrição de vítimas de terrorismo e credores da Coreia do Norte.
A LayerZero disse que um post-mortem oficial seguirá assim que seus parceiros de segurança externos concluírem seu trabalho.
Isenção de Responsabilidade: The Block é um veículo de mídia independente que entrega notícias, pesquisas e dados. A partir de novembro de 2023, a Foresight Ventures é uma investidora majoritária da The Block. A Foresight Ventures investe em outras empresas no espaço cripto. A exchange de criptomoedas Bitget é um LP âncora para a Foresight Ventures. The Block continua a operar independentemente para fornecer informações objetivas, impactantes e oportunas sobre a indústria cripto. Aqui estão nossas divulgações financeiras atuais.
© 2026 The Block. Todos os Direitos Reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou destinado a ser usado como aconselhamento jurídico, fiscal, de investimento, financeiro ou outro.
