Kelp afirma que a LayerZero aprovou a configuração que ela responsabilizou pelo roubo de $292 milhões na ponte

Kelp DAO afirma que o pessoal da LayerZero aprovou a configuração do verificador 1-de-1, uma decisão que a LayerZero desde então citou como a razão pela qual um atacante vinculado à Coreia do Norte esgotou cerca de US$ 292 milhões da ponte rsETH da Kelp.

A alegação vai contra as declarações da LayerZeroAnálise pós-morte de 19 de abril, que afirmou que o aplicativo rsETH da Kelp dependia da LayerZero Labs como seu único verificador e que a configuração "contradiz diretamente" o modelo multi-DVN recomendado pela LayerZero.

O memorando da Kelp afirma que o pessoal da LayerZero revisou suas configurações por mais de 2,5 anos e em oito discussões de integração, sem alertar que uma configuração 1-de-1 representava um risco material de segurança.

O memorando, intitulado “Esclarecendo os Fatos Sobre o Hack da Bridge LayerZero,” inclui capturas de tela de trocas no Telegram que documentam o conhecimento da LayerZero e a ausência de objeções quanto à configuração do verificador da Kelp.

Uma captura de tela mostra um membro da equipe LayerZero dizendo: “Sem problema em usar os padrões também — apenas marcando [redacted] aqui, pois ele mencionou que você talvez quisesse usar uma configuração DVN personalizada para verificar mensagens, mas deixarei isso para sua equipe!” Kelp afirma que os “padrões” referenciados na troca foram a configuração DVN 1-de-1 do LayerZero Labs, posteriormente citada pela LayerZero como a configuração a nível de aplicação que permitiu o exploit.

A CoinDesk não pôde autenticar a captura de tela de forma independente.

Modelos da LayerZero

Kelp também aponta para o escopo de recompensa por bugs da LayerZero, o OFT Quickstart e exemplos para desenvolvedores como evidência de que a LayerZero tratou as escolhas da rede verificadora como uma configuração a nível de aplicação, ao mesmo tempo em que mostrava aos desenvolvedores uma configuração de DVN única.

LayerZero's escopo publicado do programa de recompensa por bugs na Immunefi exclui das recompensas "impactos às OApps em si mesmos como resultado de sua própria má configuração," incluindo redes de verificadores e executores.

O Início Rápido do LayerZero OFT e o configuração oficial de exemplo OFT no GitHub mostram a LayerZero Labs como o DVN obrigatório, sem DVN opcional definido.

O memorando da Kelp cita um Postagem de 19 de abril do pesquisador de segurança da Spearbit, Sujith Somraaj, no qual Somraaj afirmou ter submetido um relatório de recompensa por bugs descrevendo o mesmo padrão de ataque e que a LayerZero o rejeitou.

"Minha recompensa por bugs: não é uma vulnerabilidade, requer todos os DVNs," escreveu Somraaj no X. "A implementação deles: remove a parte do 'todos'. Hackers: arrecadam uma recompensa de US$ 295 milhões em vez disso." Somraaj é um auditor anterior da LayerZero, de acordo com seu Perfil da Cantina.

Kelp muda para Chainlink

A Kelp também afirmou que está movendo rsETH do LayerZero para a Chainlink's Protocolo de Interoperabilidade Cross-Chain. A mudança transfere o rsETH do padrão OFT da LayerZero para o padrão Cross-Chain Token da Chainlink.

O exploit drenou 116.500 rsETH, no valor aproximado de US$ 292 milhões, da ponte da Kelp alimentada pela LayerZero. Duas transações forjadas adicionais totalizando mais de US$ 100 milhões foram assinadas e processadas pelo LayerZero Labs DVN antes que a Kelp pausasse seus contratos, informou o protocolo.

LayerZero afirmou invasores provavelmente estão vinculados ao Grupo Lazarus da Coreia do Norte, que acessou a lista de RPCs usadas pelo LayerZero Labs DVN, comprometeu dois nós RPC e trocou os binários que estavam em execução neles.

Os atacantes então lançaram um ataque DDoS contra os nós RPC não comprometidos, forçando uma mudança para os nós contaminados. A LayerZero afirmou que o DVN confirmou transações que não haviam ocorrido.

Kelp argumenta que a configuração 1-de-1 era prevalente. A CoinGecko, citando dados da Dune Analytics, afirmou que 47% de aproximadamente 2.665 contratos ativos LayerZero OApp executaram uma configuração 1-de-1 DVN durante um período de 90 dias até cerca de 22 de abril, com mais de US$ 4,5 bilhões em valor de mercado associado exposto ao mesmo tipo de risco.

O post-mortem da LayerZero afirmou que o protocolo "funcionou exatamente como previsto." A empresa anunciou que não assinará mais mensagens para qualquer aplicação que opere com uma configuração 1-de-1, uma mudança de política que entrou em vigor após o ataque.

Kelp alega que sua equipe teve que sinalizar a exploração para a LayerZero, e não o contrário, levantando questões sobre a monitorização da LayerZero.

O memorando também alega uma sobreposição substancial nos endereços concedidos com ADMIN_ROLE tanto no LayerZero Labs DVN quanto no Nethermind DVN, listando dez em 8 de abril de 2026 e mais cinco em 6 de fevereiro de 2025. A CoinDesk não verificou independentemente a alegação onchain.

LayerZero não respondeu a uma solicitação de comentário feita pela publicação.

Em pelo menos duas cadeias integradas, Dinari e Skale, o DVN da LayerZero Labs ainda está listado como o único atestador disponível, de acordo com a documentação.

Em uma declaração, um porta-voz da LayerZero afirmou: "Sujith está correto, a configuração 1/1 está fora do escopo do programa de recompensa por bugs. Nossa recompensa está focada em vulnerabilidades no próprio protocolo LayerZero, e não em escolhas de configuração ao nível da aplicação. Caso contrário, qualquer aplicação poderia se implantar e se definir como o único DVN para coletar uma recompensa de forma maliciosa. Sobre os padrões OFT e os exemplos no GitHub: os padrões do protocolo em quase todos os caminhos são multi-DVN. Nos casos em que uma configuração 1-de-1 é usada em templates, ela aponta para um contrato 'DeadDVN' que rejeita mensagens e orienta os desenvolvedores a configurarem corretamente sua pilha de segurança antes de entrar em operação. A alegação de que a Kelp utilizou configurações padrão da LayerZero é imprecisa. Eles implantaram multiDVN e depois rebaixaram manualmente para 1/1."

ATUALIZAÇÃO (5 de maio de 2026, 22:22 UTC): Adiciona declaração da LayerZero.