LayerZero Labs divulgou um relatório de incidente sobre o ataque à ponte KelpDAO, dizendo que aproximadamente US$ 292 milhões em rsETH foram roubados depois que os invasores comprometeram a infraestrutura RPC usada pela rede de verificação da empresa e forçaram uma mudança de política em relação à configuração de assinante único.
resumo
De acordo com LayerZero, KelpDAO foi explorado por aproximadamente US$ 290 milhões, ou aproximadamente 116.500 rsETH, em um ataque limitado a uma única configuração rsETH DVN. A empresa disse que indicadores preliminares apontam para a ligação do TraderTraitor à Coreia do Norte e descreveu a exploração como uma violação de infraestrutura e não como uma falha de protocolo. LayerZero disse que interromperá a assinatura de mensagens para aplicativos que usam uma configuração DVN 1/1 e instará os integradores afetados a implementar redundância multi-DVN.
LayerZero Labs publicou um relatório detalhado sobre a exploração KelpDAO, confirmando que os invasores roubaram aproximadamente 116.500 rsETH (no valor de aproximadamente US$ 292 milhões) ao comprometer a infraestrutura downstream associada à camada de validação usada na configuração cross-chain do KelpDAO.
A empresa disse que o incidente foi limitado à configuração rsETH da KelpDAO porque o aplicativo dependia de uma configuração DVN 1 de 1 com LayerZero Labs como o único verificador, um design que LayerZero disse contradizer diretamente a recomendação permanente da empresa de que os aplicativos usem uma configuração multi-DVN diversificada com redundância.
Em um comunicado, a LayerZero disse que “não houve infecção de outros ativos ou aplicativos entre cadeias” e afirmou que a arquitetura modular de segurança do protocolo inclui um escopo explosivo, mesmo se uma única configuração em nível de aplicativo falhar.
Como funciona o ataque
De acordo com o relatório da LayerZero, o ataque de 18 de abril de 2026 teve como alvo a infraestrutura RPC da qual o LayerZero Labs DVN depende, em vez de explorar o protocolo LayerZero, o gerenciamento de chaves ou o próprio software DVN.
A empresa disse que os invasores acessaram a lista de RPCs usados pelo DVN, comprometeram dois nós em execução em clusters separados, substituíram os binários no nó op-geth e, em seguida, usaram cargas maliciosas para alimentar dados de transações falsos para verificadores e retornar dados verdadeiros para outros endpoints, incluindo serviços de monitoramento interno.
Para completar a exploração, o invasor também lançou um ataque DDoS contra um endpoint RPC não comprometido. Isso desencadeou um failover para o nó contaminado, permitindo que o LayerZero Labs DVN visse transações que nunca ocorreram de fato.
O trabalho forense externo corresponde em grande parte a essa descrição. De acordo com a Chainalysis, os invasores associados ao grupo Lazarus da Coreia do Norte, especificamente o TraderTraitor, não exploraram bugs em contratos inteligentes, mas sim forjaram mensagens entre cadeias envenenando nós RPC internos e sobrecarregando nós externos com configurações de validação de ponto único de falha.
Mudanças de segurança
LayerZero disse que sua resposta imediata incluiu o descomissionamento e substituição de todos os nós RPC afetados, a retomada das operações do LayerZero Labs DVN, o contato com as autoridades e o trabalho com parceiros da indústria e o Seal911 para rastrear fundos roubados.
Mais importante ainda, a empresa está mudando a forma como lida com configurações arriscadas. LayerZero disse em comunicado que seu DVN “não assina ou certifica mensagens de aplicativos que utilizam a configuração 1/1”, uma mudança direta na política que visa evitar que o modo de falha KelpDAO aconteça novamente.
A empresa também está incentivando projetos que ainda usam configurações 1/1 a migrarem para um modelo redundante e multi-DVN, admitindo efetivamente que a flexibilidade de configurações que não impõem barreiras de segurança é, na verdade, muito permissiva.
As imagens de atribuição também são fixas. Chainalysis vinculou a exploração ao Lazarus Group da Coreia do Norte, especificamente TraderTraitor, enquanto Nexus Mutual disse que as mensagens forjadas drenaram US$ 292 milhões da ponte Kelp DAO em 46 minutos, tornando-se uma das maiores perdas de DeFi de 2026.
O resultado é uma lição familiar, mas brutal, para a infraestrutura entre cadeias. Embora os contratos inteligentes possam sobreviver intactos, o protocolo ainda pode falhar na prática se a camada de confiança fora da cadeia for suficientemente fraca. A LayerZero agora está tentando provar que a conclusão correta do roubo da ponte de US$ 292 milhões não foi que a segurança modular falhou, mas que o verdadeiro erro foi permitir que qualquer pessoa executasse a configuração de assinante único.
