Single-DVN-opstelling maakte een $290M-exploit mogelijk omdat aanvallers RPC-nodes manipuleerden en verificatiebeveiligingsmaatregelen omzeilden.
Een groot beveiligingsincident leidde tot een verlies van ongeveer $290 miljoen bij KelpDAO’s rsETH, wat schokgolven door de cryptomarkt stuurde. Onderzoek wijst op een zeer gecoördineerde operatie, waarschijnlijk gelinkt aan de Lazarus Group en haar subgroep TraderTraitor. LayerZero heeft nu gedetailleerd uitgelegd hoe de inbraak zich ontvouwde, waarbij het exacte aanvalspad achter de exploit wordt onthuld.
LayerZero Bevestigt Geen Protocolinbreuk bij Exploit
Het gedecentraliseerde platform LayerZero heeft nieuwe details onthuld over de aanval die leidde tot de exploit van $290 miljoen op KelpDAO’s rsETH op 18 april 2026. Vroege bevindingen wijzen op een zeer gecoördineerde operatie gelinkt aan Noord-Korea’s Lazarus Group, specifiek aan haar TraderTraitor-eenheid.
Hoewel het incident zorgen opriep in de cross-chain sector, benadrukte LayerZero dat de schade beperkt bleef. Geen andere assets of applicaties op het protocol werden getroffen.
Volgens LayerZero hebben aanvallers het protocol zelf of de kerninfrastructuur niet doorbroken. In plaats daarvan richtten ze zich op de downstream RPC-systemen die worden gebruikt door het Gedecentraliseerd Verificatienetwerk (DVN) van LayerZero Labs.
— LayerZero (@LayerZero_Core) April 20, 2026
Door twee onafhankelijke RPC-nodes te compromitteren, vervingen de aanvallers cruciale binaire bestanden en introduceerden ze kwaadaardig gedrag ontworpen om verificatieprocessen te misleiden.
Toegang tot de RPC-lijst van het DVN stelde de aanvallers in staat een precieze spoofingstrategie uit te voeren. Hun gemodificeerde nodes stuurden uitsluitend vervalste transactiedata naar het DVN, terwijl ze accurate data aan alle andere waarnemers presenteerden.
Daarom detecteerden interne monitoringtools geen inconsistenties tijdens het aanvalsvenster. Zodra de kwaadaardige activiteit eindigde, verwijderden de aangetaste nodes sporen door logs te wissen en gecompromitteerde systemen uit te schakelen.
Zelfs met die toegang moesten aanvallers nog om de back-ups van het systeem heen komen. Ze lanceerden een DDoS-aanval op de gezonde RPC-nodes, waardoor deze offline gingen. Dat dwong het DVN om over te schakelen naar de gecompromitteerde nodes. Als gevolg daarvan keurde het transacties goed die nooit daadwerkelijk op de chain plaatsvonden.
Wetshandhaving Betrokken bij Onderzoek naar $290M KelpDAO Exploit
LayerZero verduidelijkte dat de DVN-infrastructuur een vertrouwensgeminimaliseerd model volgt, waarbij interne en externe RPC-providers worden gecombineerd. De door KelpDAO bediende rsETH-applicatie vertrouwde echter op een single-DVN-configuratie. Die opstelling creëerde een enkelvoudig storingspunt, waardoor het vervalste bericht kon passeren zonder onafhankelijke verificatie.
Industrierichtlijnen van LayerZero adviseren integratoren consequent om multi-DVN-configuraties te gebruiken. Dergelijke opstellingen vereisen consensus over verschillende onafhankelijke verifiers, wat het risico van een enkel gecompromitteerd component verkleint. In dit geval betekende de afwezigheid van redundantie dat geen extra DVN de vervalste data kon betwisten.
Ondanks de omvang van de exploit bevestigde de blockchain nul besmetting in het ecosysteem. Een volledige review van integraties toonde aan dat alle andere applicaties onaangetast bleven. Modulaire beveiligingsontwerpen speelden een sleutelrol bij het beperken van het incident tot KelpDAO’s rsETH-implementatie.
Bovendien bevat het rapport LayerZero’s interne beveiligingsmaatregelen. Systemen werken onder strikte toegangscontroles, monitoring op apparaatniveau en gesegmenteerde omgevingen.
Externe beveiligingsleveranciers ondersteunen voortdurend toezicht, terwijl het bedrijf de voltooiing van haar SOC 2-audit nadert. Deze controles verhinderden dat aanvallers toegang kregen tot het DVN zelf, waardoor de inbreuk beperkt bleef tot manipulatie op RPC-niveau.
Na het incident zijn alle getroffen RPC-nodes vervangen en is het LayerZero Labs DVN weer volledig operationeel. Het bedrijf heeft ook een standpunt ingenomen tegen single-DVN-configuraties. Applicaties die dergelijke opstellingen gebruiken, zullen voortaan geen verificatieondersteuning meer ontvangen.
Wetshandhavingsinstanties in meerdere rechtsgebieden zijn nu bij het onderzoek betrokken. LayerZero werkt samen met partners en beveiligingsgroepen, waaronder Seal911, om gestolen fondsen op te sporen en terug te vorderen.
Geef een reactie