Kelp стверджує, що LayerZero затвердив налаштування, яке було звинувачено у хакерській атаці на міст на суму 292 мільйони доларів

Kelp DAO стверджує, що персонал LayerZero затвердив налаштування верифікатора 1-of-1, рішення, яке згодом LayerZero назвав причиною атаки, пов’язаної з Північною Кореєю звів приблизно 292 мільйони доларів з моста rsETH від Kelp.

Твердження суперечить позиції LayerZero Постмортем 19 квітня, у якому зазначено, що застосунок rsETH компанії Kelp покладається на LayerZero Labs як єдиного верифікатора, і що ця налаштування «безпосередньо суперечить» рекомендованій LayerZero багатомоделі DVN.

У записці Kelp зазначено, що співробітники LayerZero протягом понад 2,5 років переглядали її конфігурації та брали участь у восьми інтеграційних обговореннях, не попереджаючи про те, що конфігурація 1 із 1 становить суттєвий ризик безпеки.

Меморандум під назвою «Уточнення фактів щодо злому мосту LayerZero» містить скріншоти обмінів у Telegram, які свідчать про поінформованість LayerZero та відсутність заперечень стосовно налаштувань верифікатора Kelp.

Один скріншот показує члена команди LayerZero, який каже: «Немає проблем із використанням налаштувань за замовчуванням — просто згадую [редаговано] тут, оскільки він згадував, що ви могли б захотіти використовувати власну налаштування DVN для перевірки повідомлень, проте залишу це на вашій команді!» Келп зазначає, що «налаштування за замовчуванням», про які йдеться у цій розмові, були конфігурацією 1-з-1 DVN від LayerZero Labs, яку пізніше LayerZero назвав як налаштування на рівні додатку, що дозволило здійснити експлойт.

CoinDesk не змогла незалежно підтвердити автентичність скріншоту.

Шаблони LayerZero

Келп також вказує на рамки винагороди за виявлення вразливостей LayerZero, OFT Quickstart та приклади для розробників як докази того, що LayerZero розглядав вибір мережі верифікатора як конфігурацію на рівні застосунку, одночасно демонструючи розробникам налаштування з одним DVN.

LayerZero's опубліковано сферу програми винагород за виявлення помилок на Immunefi виключає з нагород «впливи на самі OApps внаслідок їх власної неправильної конфігурації», включаючи мережі перевіряльників та виконавців.

The Швидкий старт LayerZero OFT та офіційна прикладна конфігурація OFT на GitHub показують LayerZero Labs як обов’язковий DVN, без встановленого необов’язкового DVN.

У записці Kelp наведено 19 квітня допис від дослідника безпеки Spearbit Суджита Сомраджа, в якому Сомрадж зазначив, що він подав звіт про винагороду за виявлення вразливості, описуючи той же патерн атаки, і що LayerZero відхилила його.

"Мій баунті за помилки: не вразливість, вимагає всі DVN," написав Somraaj в X. "Їхнє розгортання: прибирає частину 'всі'. Хакери: збирають баунті на $295 млн замість цього." Somraaj — колишній аудитор LayerZero, за даними його Профіль Cantina.

Kelp переходить на Chainlink

Kelp також повідомив, що переміщує rsETH із LayerZero на Chainlink's Протокол міжмережевої взаємодії. Цей перехід переміщує rsETH зі стандарту OFT LayerZero до стандарту Cross-Chain Token компанії Chainlink.

Експлойт вивів 116 500 rsETH, вартістю близько 292 мільйонів доларів США, з мосту Kelp на базі LayerZero. Два додаткові підроблені транзакції на загальну суму понад 100 мільйонів доларів були підписані та оброблені LayerZero Labs DVN до того, як Kelp призупинив свої контракти, повідомив протокол.

LayerZero повідомила зловмисники ймовірно пов’язані з північнокорейською групою Lazarus, яка отримала доступ до списку RPC, що використовуються LayerZero Labs DVN, компрометувала два RPC-вузли та замінила бінарні файли, які на них працювали.

Зловмисники тоді здійснили атаку типу DDoS на незаражені RPC-вузли, змусивши систему перейти на скомпрометовані вузли. LayerZero повідомила, що DVN підтвердив транзакції, які фактично не відбувалися.

Келп стверджує, що 1-of-1 налаштування було поширеним. CoinGecko, посилаючись на дані Dune Analytics, повідомив, що 47% з приблизно 2 665 активних контрактів LayerZero OApp протягом 90-денного періоду, що закінчився близько 22 квітня, працювали з конфігурацією 1-of-1 DVN, при цьому понад 4,5 мільярда доларів пов’язаної ринкової вартості були піддані одному й тому ж класу ризику.

У звіті LayerZero після інциденту йдеться, що протокол «працював саме так, як було задумано». Компанія повідомила, що більше не підписуватиме повідомлення для жодного застосунку, що працює у конфігурації 1 із 1, зміна політики, яка набрала чинності після хакерської атаки.

Kelp стверджує, що його команда має повідомляти про експлойт LayerZero, а не навпаки, що ставить під сумнів моніторинг LayerZero.

У меморандумі також стверджується про суттєве перекриття адрес, яким надано роль ADMIN_ROLE як у LayerZero Labs DVN, так і в Nethermind DVN, причому десять адрес наведено станом на 8 квітня 2026 року та п’ять додаткових – станом на 6 лютого 2025 року. CoinDesk не підтверджував це твердження на основі даних блокчейну.

LayerZero не відповів на запит на коментар від видання.

Щонайменше на двох інтегрованих блокчейнах, Dinari та Skale, DVN від LayerZero Labs досі зазначений як єдиний доступний атестатор, відповідно до документації.

У заяві представник LayerZero зазначив: «Суджит правий, конфігурація 1/1 не входить до сфери дії програми винагород за виявлення помилок. Наша винагорода зосереджена на вразливостях у самому протоколі LayerZero, а не на виборі конфігурацій на рівні застосунків. Інакше будь-який застосунок міг би розгорнутися та встановити себе єдиним DVN для зловмисного отримання винагороди. Щодо налаштувань OFT за замовчуванням і прикладів на GitHub: налаштування протоколу майже для всіх шляхів є мульти-DVN. У випадках, коли в шаблонах використовується конфігурація 1 з 1, це вказує на контракт 'DeadDVN', який відхиляє повідомлення і спонукає розробників належним чином налаштовувати свій стек безпеки перед запуском у роботу. Твердження, що Kelp використовував конфігурації за замовчуванням LayerZero, є неточним. Вони розгорнули multiDVN, а потім вручну понизили до 1/1.»

ОНОВЛЕННЯ (5 травня 2026, 22:22 UTC): Додає заяву LayerZero.