Exploit-ul care a sustras aproximativ 292 de milioane de dolari de pe bridge-ul cross-chain al KelpDAO în weekend a fost „probabil” opera Grupului Lazarus din Coreea de Nord, în special a subunității sale TraderTraitor, a declarat LayerZero într-o analiză preliminară luni.
Atacatorii au sustras 116.500 rsETH, un token lichid de restaking susținut de ether staked, de pe bridge-ul KelpDAO sâmbătă, declanșând retrageri în întregul sector financiar descentralizat care au scos peste 10 miliarde de dolari din protocolul de împrumut Aave.
Atacul a purtat amprenta „unui actor statal extrem de sofisticat, probabil Grupul Lazarus al RPD Coreene”, a declarat LayerZero, specificând subunitatea TraderTraitor a grupului.
Operațiunile cibernetice ale Coreei de Nord se desfășoară sub Direcția Generală de Recunoaștere, care găzduiește mai multe unități distincte, inclusiv TraderTraitor, AppleJeus, APT38 și DangerousPassword, conform unei analize realizate de cercetătorul Paradigm Samczsun.
https://t.co/3vIHs3Xgs4
— LayerZero (@LayerZero_Core) April 20, 2026
Dintre aceste subunități, TraderTraitor a fost semnalată ca fiind cel mai sofisticat actor al RPD Coreene care vizează cripto, fiind anterior legată de compromisurile Axie Infinity Ronin Bridge și WazirX.
LayerZero a declarat că KelpDAO a folosit un singur verificator pentru a aproba transferurile în și din bridge, adăugând că a îndemnat în repetate rânduri KelpDAO să utilizeze mai mulți verificatori.
Pe viitor, LayerZero a spus că va opri aprobarea mesajelor pentru orice aplicație care încă rulează acea configurație.
Observatorii spun că exploit-ul a expus modul în care bridge-ul a fost construit să aibă încredere într-un singur verificator.
A fost „un singur punct de eșec, indiferent de cum îl numește marketingul”, a declarat Shalev Keren, co-fondator la firma de securitate criptografică Sodot, pentru Decrypt.
Un singur punct de control compromis a fost suficient pentru a permite fondurilor să părăsească bridge-ul, iar nicio audit sau revizuire de securitate nu ar fi putut remedia această lacună fără a „elimina încrederea unilaterală din arhitectura însăși”, a spus Keren.
Această viziune a fost preluată și de Haoze Qiu, Blockchain Lead la Grvt, care a argumentat că, "Kelp DAO pare să fi acceptat o configurație de securitate a bridge-ului cu prea puțină redundanță pentru un activ de această anvergură", adăugând că LayerZero "are, de asemenea, responsabilitate", având în vedere că "compromisul a implicat infrastructură legată de stiva sa de validatori, chiar dacă acest lucru nu a fost descris ca o eroare a protocolului principal."
Atacatorii au fost la trei minute distanță de a drena încă 100 de milioane de dolari înainte ca o listă neagră rapidă să-i oprească, conform unei analize realizate de firma de securitate blockchain Cyvers. Operațiunea s-a bazat pe înșelarea unui singur canal de comunicare, a declarat CTO-ul Cyvers, Meir Dolev, pentru Decrypt.
Atacatorii au accesat două dintre liniile pe care verificatorul le folosea pentru a verifica dacă o retragere avusese loc efectiv pe Unichain, i-au transmis un „da” fals pe acele linii, apoi au deconectat liniile rămase pentru a forța verificatorul să se bazeze pe cele compromise.
„Seiful era în regulă. Paznicul era cinstit. Mecanismul ușii a funcționat corect”, a spus Dolev. „Minciuna a fost șoptită direct singurei părți a cărei vorbă deschidea ușa.”
Dar în timp ce LayerZero, a cărui infrastructură a alimentat bridge-ul drenat, a indicat Lazarus ca fiind probabilul vinovat, Cyvers s-a abținut de la aceeași atribuire în propria sa analiză.
Unele tipare corespund operațiunilor legate de RPD Coreeană în sofisticare, scară și execuție coordonată, a spus Dolev, dar nu a fost confirmată nicio grupare de portofele legată de grup.
Software-ul nodului malițios a fost conceput să se șteargă singur odată ce atacul s-a încheiat, ștergând binare și log-uri pentru a ascunde urmele atacatorilor în timp real și în post-mortem, a adăugat el.
La începutul acestei luni, atacatorii au sustras aproximativ 285 de milioane de dolari din protocolul de perpetuumuri bazat pe Solana, Drift, într-un exploit atribuit ulterior operativilor nord-coreeni.
Dolev a menționat că hack-ul Drift a fost „foarte diferit în ceea ce privește pregătirile și execuția”, dar ambele atacuri au necesitat timp îndelungat de pregătire, expertiză profundă și resurse semnificative pentru a fi realizate.
Cyvers suspectează că fondurile furate au fost transferate la această adresă Ethereum, aliniindu-se cu un raport separat al investigatorului on-chain ZachXBT care a semnalat-o alături de alte patru. Adresele de atac au fost finanțate prin intermediul mixeurului de monede Tornado Cash, conform lui ZachXBT.