Kelp DAO diz que a configuração “padrão” do validador único do LayerZero permitiu o hack da ponte rsETH de US$ 290 milhões, forçando um jogo de culpa desagradável e uma transição de segurança precipitada.
resumo
Kelp DAO contesta a investigação post-mortem da LayerZero sobre o hack da ponte rsETH de US$ 290 milhões, dizendo que a configuração perigosa do validador 1/1 era o próprio padrão da LayerZero. Essa exploração resultou em 116.500 rsETH, aproximadamente US$ 290 milhões a US$ 293 milhões, ou aproximadamente 18% do fornecimento de rsETH vazou, com analistas chamando isso de a maior perda de DeFi até agora em 2026. LayerZero agora diz que irá interromper a assinatura de mensagens para aplicativos que usam DVN de verificador único, forçando uma transição para segurança de vários verificadores.
Kelp DAO contestou a explicação oficial da LayerZero para a exploração da ponte de US$ 290 milhões, argumentando que a configuração de “validador único” que permitiu aos invasores sair com 116.500 rsETH não era uma personalização imprudente, mas uma configuração padrão nas próprias diretrizes da LayerZero.
O Protocolo de Restauração de Liquidez disse à CoinDesk que a rede de verificação descentralizada (DVN) 1-de-1 usada na raiz de cadeia cruzada rsETH “segue os padrões documentados do LayerZero” e que a pilha de validadores comprometida pelos invasores é “parte da própria infraestrutura do LayerZero” em vez de um terceiro não verificado.
O ataque, que ocorreu em 18 de abril, despejou 116.500 rsETH, cerca de 18% do fornecimento de tokens, em endereços cunhados ou controlados por invasores, resultando em perdas de aproximadamente US$ 290 milhões a US$ 293 milhões na época, tornando-se a maior exploração de DeFi de 2026 até agora.
Em seu relatório de investigação e declaração de acompanhamento, LayerZero afirmou que “o protocolo da LayerZero não foi quebrado” e, em vez disso, afirmou que Kelp DAO “introduziu um único ponto de falha DVN na produção” para tokens com um valor total de mais de US$ 1 bilhão bloqueado.
“Operar uma configuração de ponto único de falha significa que não há verificador independente para capturar e rejeitar mensagens forjadas”, disse a empresa de interoperabilidade, alegando que já havia comunicado “melhores práticas de diversificação DVN” à Kelp DAO e outros parceiros.
Pesquisadores e auditores de segurança, incluindo o cofundador da SlowMist, Yu Xian, confirmaram que a raiz da ponte rsETH usava um DVN 1/1 (efetivamente uma assinatura única) em vez de uma pilha 2/2 ou multi-DVN, chamando isso de vulnerabilidade de “assinatura única, ponto único” que pode ter sido auxiliada pela engenharia social.
O site de rastreamento DeFi DeFiPrime disse em um post-mortem detalhado que, embora o modelo OApp da LayerZero permita que os aplicativos escolham o número de DVNs que precisam para assinar uma mensagem, com configurações 2/3 ou 3/5 geralmente recomendadas para implantações de alto valor, o adaptador de Kelp foi “configurado para aceitar atestado de verificador único” operado pela LayerZero Labs.
Esse design significava que “uma assinatura forjada era suficiente para fazer uma mensagem entre cadeias parecer genuína”, permitindo que um invasor alimentasse uma instrução falsa na ponte que imita uma mensagem válida de outra cadeia, fazendo com que 116.500 rsETH fossem liberados “do nada” na carteira.
A equipe Kelp DAO responde que implementou o código público proprietário do LayerZero e os padrões em várias redes, e que o DVN explorado foi “operado pelo próprio LayerZero”, sugerindo que a responsabilidade recai, pelo menos em parte, no provedor de infraestrutura, e não apenas no aplicativo.
LayerZero agora está dando o passo incomum de prometer “parar de assinar mensagens para aplicativos que usam uma configuração de verificação única” e forçar uma “transição de segurança” que exige que todos os OApps mudem para uma arquitetura multi-DVN se desejarem continuar usando o protocolo.
O impacto vai muito além de um único token de re-staking.
Como o crypto.news relatou anteriormente sobre como a exploração do rsETH e o ataque LayerZero foram atribuídos ao grupo Lazarus da Coreia do Norte, o incidente reacendeu um debate mais amplo sobre o design da ponte, a configuração padrão e, em última análise, quem é o responsável se algo der errado com a infraestrutura modular de cadeia cruzada.
Os artigos relacionados do crypto.news que podem ser vinculados por cópia incluem cobertura da exploração Kelp DAO-LayerZero e atribuição do Lazarus, análise de hacks anteriores de pontes entre cadeias e relatórios sobre como os protocolos de reestabelecimento e estaqueamento líquido concentram o risco de contrato inteligente em várias cadeias.
