LayerZero zegt dat het een ‘fout heeft gemaakt’ in de $292 miljoen Kelp-exploit

Na aanvankelijk de exploit te hebben gepresenteerd als een fout in de configuratie door de ontwikkelaar, verklaarde LayerZero dat het de beslissing “eigendomt” om zijn eigen verifier hoge waarde transfers te laten beveiligen in een kwetsbare opstelling.

LayerZero CEO Bryan Pellegrino at Crypto Bahamas 2022 (Danny Nelson/CoinDesk)
Summary
  • LayerZero erkende dat het een “fout heeft gemaakt” door zijn eigen verifier-netwerk toe te staan om waardevolle activa te beveiligen in een risicovolle configuratie, en keerde daarmee wekenlange beschuldigingen tegen Kelp DAO voor een hack van $292 miljoen, gelinkt aan Noord-Koreaanse aanvallers, om.
  • Het bedrijf gaf aan dat het protocol niet was aangetast en bracht de exploit terug op een aanval op de interne RPC-infrastructuur die wordt gebruikt door het gedecentraliseerde verifier-netwerk, terwijl het benadrukte dat ontwikkelaars verantwoordelijk blijven voor hun eigen beveiligingsinstellingen.
  • De nasleep drijft grote klanten naar concurrenten, waarbij Kelp zijn rsETH-brug naar Chainlink verplaatst en Solv Protocol meer dan $700 miljoen aan getokeniseerde bitcoin-infrastructuur wegvoert van LayerZero.

LayerZero zei vrijdagavond laat Amerikaanse tijd dat het “een fout heeft gemaakt” door zijn eigen verificatie-infrastructuur toe te staan om crypto-activa met hoge waarde te beveiligen in een kwetsbare configuratie, wat een opvallende verschuiving in toon markeert na weken van verwijten aan de ontwikkelaar Kelp DAO voor een hack van $292 miljoen verbonden aan Noord-Koreaanse aanvallers.

De erkenning markeert een opmerkelijke verschuiving na weken van publieke beschuldigingen tussen LayerZero en Kelp over de verantwoordelijkheid voor de hack van april, die LayerZero aanvankelijk had gekaderd als een configuratiefout op applicatieniveau door Kelp.

“Allereerst: een langverwachte verontschuldiging,” schreef LayerZero in een blog die vrijdag werd gepubliceerd.

LayerZero gaf aanvankelijk Kelp de schuld en stelde dat het protocol had gekozen voor een risicovolle “1-of-1” configuratie waarbij slechts één enkel gedecentraliseerd verifier-netwerk, of DVN, nodig was om cross-chain transfers goed te keuren, wat een enkelvoudig falingspunt creëerde. Een DVN maakt deel uit van de infrastructuur die verifieert of een transactie waarbij activa tussen blockchains worden verplaatst legitiem is.

“We hebben een fout gemaakt door onze DVN toe te staan te fungeren als een 1/1 DVN voor transacties met een hoge waarde,” aldus het bedrijf. “We hebben niet gecontroleerd wat onze DVN beveiligde, wat een risico creëerde dat we simpelweg niet hadden gezien. We nemen daarvoor verantwoordelijkheid.”

Om dit tegen te gaan, liet LayerZero Labs weten dat zijn DVN niet langer 1/1 DVN-configuraties zal ondersteunen. Daarnaast worden "alle standaardinstellingen op alle paden waar mogelijk gemigreerd naar 5/5 en nooit minder dan 3/3 op een keten waar slechts 3 DVN’s beschikbaar zijn," aldus de blog.

Cross-chain bridges fungeren als digitale overdrachtsrails tussen anders gescheiden blockchainnetwerken, maar zijn al lange tijd een van de meest kwetsbare onderdelen van de crypto-infrastructuur.

LayerZero handhaafde dat het onderliggende protocol niet was gecompromitteerd en herhaalde dat ontwikkelaars uiteindelijk verantwoordelijk zijn voor het configureren van hun eigen beveiligingsveronderstellingen.

“Het LayerZero-protocol bleef onaangetast,” aldus het bedrijf, dat de exploit toeschrijft aan een aanval op de interne RPC-infrastructuur die wordt gebruikt door de LayerZero Labs DVN, terwijl externe RPC-providers gelijktijdig werden getroffen door gedistribueerde denial-of-service-aanvallen.

Daarnaast meldde Layer Zero dat drieënhalf jaar geleden een van zijn ondertekenaars op onze multisig hun multisig hardware wallet gebruikte om een persoonlijke transactie uit te voeren, terwijl de bedoeling was hun eigen persoonlijke hardware wallet te gebruiken. Er worden maatregelen genomen tegen dergelijke handelingen en er werd gezegd: "Dit is uiteraard niet acceptabel."

"Deze ondertekenaar is verwijderd uit de multisig, wallets zijn geroteerd, en sindsdien hebben we onze beveiligingspraktijken rondom ondertekeningsapparaten bijgewerkt, gelokaliseerde anomaliedetectiesoftware op elk apparaat toegevoegd, en een op maat gemaakte multisig genaamd OneSig ontwikkeld."

Concurrenten, waaronder Chainlink, benutten de nasleep om zaken te winnen van protocollen die hun beveiligingsproviders heroverwegen.

Kelp heeft al verplaatst zijn rsETH-brug naar Chainlink’s concurrerende Cross-Chain Interoperability Protocol, terwijl Solv Protocol zei deze week het migreert meer dan $700 miljoen aan getokeniseerde bitcoin-infrastructuur weg van LayerZero na een nieuwe veiligheidsbeoordeling.

ER June 2026 Image

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.

Waarom het belangrijk is:

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.