KelpDAO Sinisisi ang LayerZero sa $300M na Pagsasamantala, Lumipat sa Chainlink CCIP

• Sabi ni KelpDAO na ang sariling imprastraktura ng DVN ng LayerZero ay nilabag noong Abril 18, na nagdulot ng mahigit $300M na pagkalugi sa DeFi.
  
• Kinumpirma ng mga independiyenteng mananaliksik na ang pag-atake ay nagmula sa loob ng trust boundary ng LayerZero, hindi mula sa error sa configuration ng Kelp.
  
• Ang KelpDAO ay lumilipat ng rsETH sa Chainlink CCIP, binabanggit ang pitong taong track record ng Chainlink na nag-secure ng mahigit $30 trillion na halaga.

Publiko nang hinamon ng KelpDAO ang salaysay ng LayerZero tungkol sa isang exploit noong Abril 18 na nagdulot ng mahigit $300 milyon na pagkalugi sa buong DeFi. 

Ang protocol ay naglabas ng isang detalyadong post na binabanggit ang mga independiyenteng mananaliksik sa seguridad, mga panloob na komunikasyon, at on-chain data. 

Naninindigan ang KelpDAO na ang sariling imprastraktura ng LayerZero ay nilabag, hindi isang error sa configuration mula sa panig ng Kelp. 

Simula noon ay inanunsyo ng team ang isang buong paglipat sa Cross-Chain Interoperability Protocol (CCIP) ng Chainlink para sa seguridad ng rsETH.

Paglabag sa Infrastructure ng LayerZero, Napagtuunan ng Malayang Pagsusuri

Noong Abril 18, 2026, sinamantala ng mga attacker ang imprastraktura ng DVN ng LayerZero, na nag-alis ng mahigit $300 milyon mula sa mga DeFi protocol. 

KelpDAO ay nakakita ng dalawang karagdagang pekeng transaksyon na nagkakahalaga ng $100 milyon at pinahinto ang mga kontrata nito bago pa magkaroon ng karagdagang pinsala. 

Ang tugon ng LayerZero, na inilathala pagkalipas ng 34 na oras, ay iniugnay ang insidente sa isang RPC-spoofing attack. Gayunpaman, napagpasyahan ng mga independiyenteng mananaliksik mula sa SEAL 911 at iba pa na ang paglabag ay nagmula sa loob ng sariling trust boundary ng LayerZero.

Isang mananaliksik sa seguridad ang nagsabi na ang pag-atake sa LayerZero ay hindi RPC poisoning kundi isang paglabag sa imprastraktura sa loob ng perimeter. 

Isang ulat ang nagtala na ang tanging kinakailangang DVN ay ang LayerZero DVN na may label na Etherscan, na lubhang nagpaliit sa posibleng fault domain. 

Ang pagtatasa ng SEAL 911 ay higit pang nagkumpirma na ang mga threat actor, na may mataas na kumpiyansang nauugnay sa DPRK, ay mapanlinlang na nag-trigger ng isang attestation mula sa LayerZero DVN.

Kinompromiso ng mga attacker ang dalawang RPC node na ginagamit ng DVN ng LayerZero, pagkatapos ay nagsagawa ng DDoS sa mga natitirang node. Ito ang nagtulak sa mga signer ng DVN na patunayan ang isang hindi umiiral na transaksyon. 

Ang sariling postmortem ng LayerZero ay umamin na na-access ng mga attacker ang listahan ng RPC ng DVN nito at pinalitan ang mga binary node, na nagsasabi: “nakuha ng attacker ang access sa listahan ng mga RPC na ginagamit ng aming DVN, kinompromiso ang dalawa sa mga ito… at pinalitan ang mga binary na nagpapatakbo ng op-geth nodes.”

After the recent LayerZero exploit, we are taking steps to ensure rsETH is fully secure, which is why we are migrating to @chainlink CCIP.

From the April 18 incident, it is clear that LayerZero's own infrastructure was exploited, resulting in $300M in losses across DeFi.… https://t.co/beIrfZZLlh

— Kelp (@KelpDAO) May 5, 2026

Dagdag pa, ipinakita ng data mula sa Dune analytics na humigit-kumulang 47% ng mga OApp contract ng LayerZero ay gumamit ng 1-1 na DVN setup. Mahigit 90% ng lahat ng mensahe ng LayerZero sa nakaraang 90 araw ay umasa sa LayerZero Labs DVN. 

Ito ay direktang sumalungat sa isang pahayag mula kay Bryan ng LayerZero noong Disyembre 2024, na nagsabing walang application na gumagamit ng 1-1 na LayerZero DVN setup noong panahong ang rsETH ay may humigit-kumulang $200 milyon sa TVL sa ilalim ng eksaktong configuration na iyon.

Binanggit ng KelpDAO ang mga Inaprubahang Configuration at Lumipat sa Chainlink

Sinabi ng KelpDAO na ang 1-1 na DVN setup nito ay tahasang inaprubahan ng isang miyembro ng team ng LayerZero Labs sa pamamagitan ng Telegram. 

Sa loob ng 2.5 taon at walong dokumentadong talakayan sa integrasyon, hindi kailanmin itinuring ng LayerZero na panganib sa seguridad ang configuration na ito. Binanggit din ng team na ang sariling quickstart documentation ng LayerZero ay naka-default pa rin sa isang 1-1 na setup, na walang naka-configure na opsyonal na DVN.

Itinuro rin ng mga mananaliksik na ang default na Gasolina AWS deployment ng LayerZero ay nag-expose ng isang pampublikong gateway na walang IAM authentication, WAF, o IP allowlists. 

Isang ulat ang nagsabing “ang quorum ay tahasang nakatakda sa 1,” ibig sabihin ang mga backup na RPC ay nagsisilbi lamang bilang failover sa halip na magbigay ng multi-provider consensus. 

Napansin ng isa pang mananaliksik na “ang mga RPC ay karamihang pampublikong endpoint,” na nagpapatunay na ang reference deployment ay hindi gumamit ng maraming provider upang makamit ang consensus.

Sinimulan na ng protocol ang paglipat ng rsETH sa Chainlink CCIP at sa Cross-Chain Token standard nito. Ang oracle network ng Chainlink ay nagpadali ng mahigit $30 trillion na halaga sa loob ng mahigit pitong taon. 

Binanggit ng KelpDAO na ang Chainlink ay nanatiling ganap na operational sa kabila ng maraming global outage, na ginagawa itong isang mas maaasahang pagpipilian ng imprastraktura sa hinaharap.

Nagtaas din ng mga alalahanin ang KelpDAO tungkol sa mga shared administrative role sa pagitan ng LayerZero Labs DVN at ng Nethermind DVN. 

Sampung magkakapatong na address ang nagtataglay ng ADMIN_ROLE sa parehong kontrata noong Abril 8. Nagtalo ang team na ang pagpapatong na ito ay nagtataas ng tanong kung ang mga DVN ay tunay na independiyenteng gumagana. 

Isang buong forensic report ang susunod pagkatapos matapos ang pagsusuri, na ang pag-secure sa mga asset ng user ay nananatiling agarang prayoridad ng team.