Ang Single-DVN setup ang nagpahintulot sa isang $290M na pagsasamantala nang manipulahin ng mga attacker ang mga RPC node at nakalusot sa mga safeguard sa pag-verify.
Isang malaking security insidente ang nag-ubos ng tinatayang $290 milyon mula sa rsETH ng KelpDAO, na nagdulot ng pagkabigla sa buong crypto market. Itinuturo ng mga natuklasan ang isang mataas na kordinadong operasyon, malamang na konektado sa Lazarus Group at sa subgroup nitong TraderTraitor. Inilatag na ngayon ng LayerZero kung paano naganap ang paglabag, na nagbubunyag ng eksaktong landas ng atake sa likod ng pagsasamantala.
Kinumpirma ng LayerZero na Walang Protocol Breach sa Exploit
Inilantad ng desentralisadong platform na LayerZero ang mga bagong detalye tungkol sa atake na humantong sa $290 milyong pagsasamantala sa rsETH ng KelpDAO noong Abril 18, 2026. Itinuturo ng mga unang natuklasan ang isang mataas na kordinadong operasyon na konektado sa Lazarus Group ng North Korea, partikular sa TraderTraitor unit nito.
Bagama’t nagdulot ng pag-aalala sa buong cross-chain sector ang insidente, binigyang-diin ng LayerZero na nanatiling nakakulong ang pinsala. Walang ibang asset o aplikasyon sa protocol ang naapektuhan.
Ayon sa LayerZero, hindi nilabag ng mga attacker ang mismong protocol o ang core infrastructure nito. Sa halip, tinarget nila ang mga downstream na RPC system na ginamit ng LayerZero Labs Decentralized Verifier Network (DVN).
— LayerZero (@LayerZero_Core) April 20, 2026
Sa pamamagitan ng pag-kompromiso sa dalawang independiyenteng RPC node, pinalitan ng mga attacker ang mga pangunahing binary at nagpakilala ng malicious behavior na idinisenyo upang iligaw ang mga proseso ng pag-verify.
Ang access sa listahan ng RPC ng DVN ay nagpahintulot sa mga attacker na magsagawa ng isang tiyak na spoofing strategy. Ang kanilang mga binagong node ay nagpadala ng pekeng transaction data eksklusibo sa DVN habang nagpapakita ng tumpak na data sa lahat ng iba pang observer.
Dahil dito, walang nakitang hindi pagkakatugma ng mga internal na monitoring tool sa panahon ng window ng atake. Nang matapos ang malicious activity, binura ng mga binagong node ang mga bakas sa pamamagitan ng pag-delete ng mga log at pag-disable sa mga na-kompromisong system.
Kahit na may ganoong access, kailangan pa ring lampasan ng mga attacker ang mga backup ng system. Naglunsad sila ng DDoS attack sa mga malulusog na RPC node, at pinatay ang mga ito. Iyon ang nagpilit sa DVN na lumipat sa mga na-kompromisong node. Bilang resulta, inaprubahan nito ang mga transaksyon na hindi naman talaga naganap on-chain.
Sumali ang Mga Ahensya ng Batas sa Pagsisiyasat sa $290M KelpDAO Exploit
Ipinaliwanag ng LayerZero na sumusunod sa trust-minimized model ang infrastructure ng DVN nito, na pinagsasama ang panloob at panlabas na RPC provider. Gayunpaman, ang rsETH application na pinapatakbo ng KelpDAO ay umaasa sa isang single DVN configuration. Ang setup na iyon ay lumikha ng isang single point of failure, na nagpahintulot sa pekeng mensahe na makalusot nang walang independiyenteng pag-verify.
Ang patnubay ng industriya mula sa LayerZero ay palaging nagpayo sa mga integrator na gumamit ng multi-DVN configuration. Ang mga ganoong setup ay nangangailangan ng consensus sa ilang independiyenteng verifier, na binabawasan ang panganib ng anumang iisang na-kompromisong component. Sa kasong ito, ang kawalan ng redundancy ay nangangahulugang walang karagdagang DVN ang makakahamon sa pekeng data.
Sa kabila ng lawak ng pagsasamantala, kinumpirma ng blockchain na zero ang contagion sa buong ecosystem nito. Ipinakita ng isang kumpletong pagsusuri ng mga integrasyon na ang lahat ng iba pang aplikasyon ay hindi naapektuhan. Ang modular na disenyo ng seguridad ay gumampan ng isang mahalagang papel sa paglilimita ng insidente sa rsETH deployment ng KelpDAO.
Dagdag pa rito, kasama sa ulat ang mga panloob na hakbang sa seguridad ng LayerZero. Ang mga system ay nagpapatakbo sa ilalim ng mahigpit na kontrol sa access, device-level na monitoring, at mga segmented na kapaligiran.
Sinusuportahan ng mga panlabas na security vendor ang patuloy na pangangasiwa, habang malapit nang makumpleto ng kumpanya ang SOC 2 audit nito. Pinigilan ng mga kontrol na ito ang mga attacker na ma-access ang mismong DVN, na nililimitahan ang paglabag sa RPC-level na manipulasyon.
Kasunod ng insidente, ang lahat ng naapektuhang RPC node ay pinalitan na, at ang LayerZero Labs DVN ay ganap nang gumagana muli. Ipinahayag na rin ng kumpanya ang isang matatag na posisyon laban sa mga single-DVN configuration. Ang mga aplikasyong gumagamit ng ganoong setup ay hindi na tatanggap ng suporta sa pag-verify sa hinaharap.
Ang mga ahensya ng batas sa maraming hurisdiksyon ay kasalukuyang kasangkot sa pagsisiyasat. Nakikipagtulungan ang LayerZero kasama ang mga partner at security group, kabilang ang Seal911, upang masubaybayan at mabawi ang mga ninakaw na pondo.
Mag-iwan ng Tugon