Un exploit de 290 de milioane de dolari pe bridge-ul cross-chain al KelpDAO, pe 18 aprilie, atribuit de LayerZero grupului Lazarus din Coreea de Nord, a trimis unde de șoc prin ecosistemul DeFi și a șters peste 13 miliarde de dolari din valoarea totală blocată (TVL) pe diverse protocoale în decurs de 48 de ore.
Atacatorii au drenat 116.500 rsETH, în valoare de aproximativ 290 de milioane de dolari, de pe bridge-ul cross-chain al KelpDAO, bazat pe LayerZero, pe 18 aprilie, în ceea ce CoinDesk a numit cel mai mare exploit DeFi din 2026 până în prezent. LayerZero, a cărui infrastructură a susținut bridge-ul, a declarat într-un comunicat de luni că „indicatorii preliminari sugerează atribuirea unui actor statal extrem de sofisticat, probabil grupul Lazarus al RPDC.”
Atacul a funcționat prin compromiterea a două noduri de apel de procedură la distanță (RPC) pe care verificatorul LayerZero se baza pentru a confirma tranzacțiile cross-chain, apoi prin inundarea nodurilor de rezervă cu trafic nedorit pentru a forța comutarea (failover) către punctele finale infectate. Odată ce verificatorul a aprobat o tranzacție fabricată, bridge-ul a eliberat 290 de milioane de dolari în rsETH către o adresă controlată de atacator. Malware-ul s-a autodistrus ulterior, ștergând fișierele binare și jurnalele pentru a împiedica investigația criminalistică. După cum a raportat crypto.news, exploit-ul a declanșat ieșiri de peste 10 miliarde de dolari numai de la Aave, valoarea totală blocată (TVL) a protocolului de lending scăzând de la 45,8 miliarde de dolari la 35,7 miliarde de dolari, pe măsură ce utilizatorii s-au grăbit să se retragă. UPI a raportat că peste 13 miliarde de dolari au fost șterse din valoarea totală blocată (TVL) pe platformele DeFi în cele două zile de după breșă.
A izbucnit o dispută cu privire la cine poartă responsabilitatea pentru vulnerabilitatea care a făcut posibil atacul. LayerZero a declarat că KelpDAO a ales să opereze o configurație de rețea de verificare descentralizată 1-din-1, un punct unic de eșec împotriva căruia avertizase în repetate rânduri, și a anunțat că nu va mai semna mesaje pentru nicio aplicație care utilizează această configurație. KelpDAO a replicat, declarând pentru CoinDesk că configurația sa a urmat setările implicite documentate de LayerZero și că validatorul compromis făcea parte din propria infrastructură a LayerZero. După cum a documentat crypto.news, cercetători independenți în securitate, inclusiv un dezvoltator Yearn Finance, au descoperit că codul de implementare public al LayerZero vine cu setări implicite de verificare dintr-o singură sursă pe fiecare lanț major, subminând afirmația firmei că KelpDAO s-ar fi abătut de la instrucțiuni.
Exploit-ul KelpDAO este a doua breșă majoră DeFi legată de Lazarus numai în luna aprilie, după atacul de 285 de milioane de dolari asupra protocolului Drift din 1 aprilie, aducând totalul pradă a grupului în DeFi pentru această lună la peste 575 de milioane de dolari. Atacatorul a început de atunci să spele fondurile furate, direcționând activele prin Arbitrum și în stablecoins bazate pe Tron, așa cum a monitorizat crypto.news. Jefferies a avertizat că atacurile de anvergură de această scară ar putea încetini temporar apetitul Wall Street-ului pentru proiectele de tokenizare, pe măsură ce instituțiile reevaluează riscurile de securitate încorporate în infrastructura bridge-urilor DeFi. LayerZero a declarat că a confirmat zero contagiune către alte aplicații care rulează configurații cu mai mulți verificatori, dar a impus o migrare la nivel de protocol de la configurațiile cu un singur validator.
LayerZero a declarat că lucrează cu KelpDAO, Security Alliance și agențiile de aplicare a legii pentru a urmări fondurile furate, deși utilizarea instrumentelor de confidențialitate de către atacator a complicat semnificativ eforturile de recuperare.
