O exploit que drenou cerca de US$ 292 milhões da ponte cross-chain da KelpDAO durante o fim de semana foi “provavelmente” obra do Lazarus Group da Coreia do Norte, especificamente de sua subunidade TraderTraitor, disse a LayerZero em uma análise preliminar na segunda-feira.
Atacantes drenaram 116.500 rsETH, um token de restaking líquido apoiado por ether em staking, da ponte da KelpDAO no sábado, desencadeando saques no setor de finanças descentralizadas que retiraram mais de US$ 10 bilhões do protocolo de empréstimo Aave.
O ataque tinha as características de “um ator estatal altamente sofisticado, provavelmente o Lazarus Group da RPDC”, disse a LayerZero, especificando a subunidade TraderTraitor do grupo.
As operações cibernéticas da Coreia do Norte operam sob o Departamento Geral de Reconhecimento, que abriga várias unidades distintas, incluindo TraderTraitor, AppleJeus, APT38 e DangerousPassword, de acordo com uma análise do pesquisador da Paradigm Samczsun.
https://t.co/3vIHs3Xgs4
— LayerZero (@LayerZero_Core) April 20, 2026
Entre essas subunidades, a TraderTraitor foi apontada como o ator da RPDC mais sofisticado que visa cripto, anteriormente ligada às violações da Axie Infinity Ronin Bridge e WazirX.
A LayerZero disse que a KelpDAO havia usado um único verificador para aprovar transferências de entrada e saída da ponte, acrescentando que havia instado repetidamente a KelpDAO a usar vários verificadores em vez disso.
Daqui para frente, a LayerZero disse que deixará de aprovar mensagens para qualquer aplicação que ainda esteja executando essa configuração.
Observadores dizem que o exploit expôs como a ponte foi construída para confiar em um único verificador.
Foi “um único ponto de falha, independentemente do que o marketing o chame”, disse Shalev Keren, co-fundador da empresa de segurança criptográfica Sodot, à Decrypt.
Um único ponto de verificação comprometido foi suficiente para permitir que os fundos saíssem da ponte, e nenhuma auditoria ou revisão de segurança poderia ter corrigido essa falha sem “remover a confiança unilateral da própria arquitetura”, disse Keren.
Essa visão foi ecoada por Haoze Qiu, Blockchain Lead na Grvt, que argumentou que, "a Kelp DAO parece ter aceitado uma configuração de segurança de ponte com pouca redundância para um ativo dessa escala", acrescentando que a LayerZero "também tem responsabilidade", dado que "a violação envolveu infraestrutura ligada à sua pilha de validadores, mesmo que isso não tenha sido descrito como um bug do protocolo central."
Os atacantes estiveram a três minutos de drenar outros US$ 100 milhões antes que uma rápida lista negra os impedisse, de acordo com uma análise da empresa de segurança de blockchain Cyvers. A operação baseou-se em enganar um único canal de comunicação, disse o CTO da Cyvers, Meir Dolev, à Decrypt.
Os atacantes exploraram duas das linhas que o verificador usava para verificar se uma retirada havia realmente ocorrido na Unichain, alimentaram-na com um “sim” falso nessas linhas e, em seguida, derrubaram as linhas restantes para forçar o verificador a depender das comprometidas.
“O cofre estava bem. O guarda era honesto. O mecanismo da porta funcionou corretamente”, disse Dolev. “A mentira foi sussurrada diretamente à única parte cuja palavra abriu a porta.”
Mas enquanto a LayerZero, cuja infraestrutura alimentava a ponte drenada, apontou o Lazarus como o provável culpado, a Cyvers não fez a mesma atribuição em sua própria análise.
Alguns padrões correspondem a operações ligadas à RPDC em sofisticação, escala e execução coordenada, disse Dolev, mas nenhum agrupamento de carteiras vinculado ao grupo foi confirmado.
O software de nó malicioso foi projetado para se autoapagar assim que o ataque terminasse, limpando binários e logs para obscurecer o rastro dos atacantes em tempo real e na análise post-mortem, acrescentou ele.
No início deste mês, atacantes drenaram cerca de US$ 285 milhões do protocolo de perpétuos baseado em Solana, Drift, em um exploit posteriormente atribuído a agentes norte-coreanos.
Dolev observou que o hack do Drift foi “muito diferente em termos de preparação e execução”, mas ambos os ataques exigiram longos prazos, profunda experiência e recursos significativos para serem realizados.
A Cyvers suspeita que os fundos roubados foram transferidos para este endereço Ethereum, alinhando-se com um relatório separado do investigador on-chain ZachXBT que o sinalizou junto com outros quatro. Os endereços dos atacantes foram financiados através do misturador de moedas Tornado Cash, segundo ZachXBT.
