LayerZero publica relatório de investigação: Análise das causas e do processo do ataque a KelpDAO

Fonte: LayerZero; Tradução: GoldFinanceClaw

Declaração sobre o incidente de ataque ao KelpDAO

Em 18 de abril de 2026, o KelpDAO foi alvo de um ataque, com uma perda de aproximadamente 290 milhões de dólares. Indícios preliminares sugerem que este ataque teve origem em um grupo de hackers de alto nível, altamente sofisticado, possivelmente a Lazarus Group da Coreia do Norte (especificamente o ramo TraderTraitor). Este incidente limitou-se à configuração rsETH do KelpDAO, cuja causa direta foi a adoção de uma configuração de DVN (rede de validação descentralizada) única. Outros ativos ou aplicações cross-chain não apresentam risco de contaminação.

Este ataque altamente sofisticado visou a infraestrutura de RPC (chamada de procedimento remoto) de downstream utilizada pelo DVN da LayerZero Labs. Atualmente, todos os nós RPC afetados foram desativados e substituídos, e o DVN da LayerZero Labs foi restabelecido.

Compartilhamos esses detalhes com o objetivo de ajudar a comunidade a compreender melhor e prevenir esse tipo de vetor de ataque emergente, apoiado por nações.

Contexto: Arquitetura de segurança modular da LayerZero

O protocolo LayerZero é baseado em uma arquitetura de segurança modular e configurável por aplicação. As redes de validação descentralizadas (DVNs) são entidades independentes responsáveis por validar a integridade das mensagens entre blockchains. Um ponto crucial é que o protocolo não impõe uma única configuração de segurança. Pelo contrário, ele autoriza cada aplicação e emissor de ativos a definir sua própria postura de segurança, incluindo quais DVNs dependem, como combiná-las e quais limites de redundância estabelecer.

A melhor prática do setor — também recomendada explicitamente pela LayerZero a todos os integradores — é configurar múltiplas DVNs com diversidade e redundância. Isso significa que nenhuma DVN única deve representar um ponto de confiança ou falha unilateral.

Escopo e propagação: apenas rsETH

Realizamos uma revisão completa das integrações de atividades no protocolo LayerZero. Podemos afirmar com certeza que não há risco de contaminação para quaisquer outros ativos ou aplicações. Este incidente foi completamente isolado à configuração de DVN única do KelpDAO, afetando apenas seu rsETH.

A aplicação afetada é o rsETH emitido pelo KelpDAO. No momento do incidente, sua configuração OApp dependia de uma configuração de DVN “1 por 1”, usando apenas o LayerZero Labs como único validador — uma configuração que viola diretamente o modelo de redundância de múltiplas DVNs sempre recomendado pela LayerZero. Operar com uma configuração de ponto único de falha significa que não há validadores independentes capazes de detectar e rejeitar mensagens falsificadas. A LayerZero e outras entidades externas já haviam comunicado ao KelpDAO as melhores práticas de diversificação de DVNs, mas, apesar dessas recomendações, o KelpDAO optou por uma configuração 1/1 de DVN.

Se uma configuração reforçada fosse adotada, o ataque precisaria alcançar consenso entre múltiplas DVNs independentes, tornando a ação maliciosa inútil mesmo que uma DVN fosse comprometida.

Detalhes do incidente

Em 18 de abril de 2026, o DVN da LayerZero Labs foi alvo de um ataque altamente sofisticado. Os atacantes comprometeram a infraestrutura de RPC downstream, “envenenando” ou adulterando a infraestrutura, ao invadir o quorum de RPCs (número de RPCs necessárias para validar uma transação). Isso não ocorreu por vulnerabilidades no protocolo, na DVN ou na gestão de chaves.

Ao contrário, os atacantes obtiveram a lista de RPCs que usamos na DVN, comprometeram dois nós independentes e trocaram os binários que executam o nó op-geth. Seguindo o princípio de “menor privilégio”, eles não conseguiram comprometer a instância real da DVN. No entanto, usaram essa brecha para realizar ataques de falsificação de RPC:

• Nós maliciosos enviaram cargas personalizadas para falsificar mensagens à DVN.

• Esses nós mentiram para a DVN, mas reportaram informações verdadeiras para qualquer outro IP (incluindo nossos serviços de varredura e infraestrutura de monitoramento interno). Essa estratégia foi cuidadosamente planejada para evitar que sistemas de segurança detectassem anomalias.

• Após o ataque, os nós maliciosos se autodestruíram, desativaram os RPCs e removeram os binários maliciosos e logs relacionados.

Além disso, os atacantes também realizaram ataques DDoS nos RPCs não comprometidos, acionando a troca automática (failover) para os nós envenenados. Como resultado, a instância do DVN operada pela LayerZero Labs confirmou transações que, na realidade, nunca ocorreram.

Postura de segurança da LayerZero Labs

Mantemos uma postura de segurança robusta, com endpoints de detecção e resposta (EDR), controles de acesso rigorosos, ambientes totalmente isolados e logs de sistema completos. Nosso DVN opera tanto em nós internos quanto externos. Atualmente, estamos na fase final de uma auditoria SOC2.

Caminho futuro

1. Restauração do DVN: O DVN da LayerZero Labs foi restabelecido. Aplicações com configuração de múltiplas DVNs podem retomar operações com segurança.

2. Migração obrigatória: Estamos entrando em contato com todas as aplicações que usam configuração 1/1 de DVN, solicitando que migrem para uma configuração redundante de múltiplas DVNs. O DVN da LayerZero Labs não assinará nem validará mais mensagens de aplicações com configuração 1/1.

3. Cooperação com autoridades: Estamos colaborando com várias agências de aplicação da lei globalmente e apoiando parceiros do setor e Seal911 na rastreabilidade de fundos.

Resumo

Queremos deixar claro: o protocolo LayerZero em si operou exatamente como esperado durante todo o incidente. Não foram encontradas vulnerabilidades no protocolo. Se fosse um sistema único ou um sistema de segurança compartilhada, o risco de contaminação poderia afetar todas as aplicações. A característica definidora da arquitetura da LayerZero é sua segurança modular, que neste caso funcionou como deveria — isolando completamente o ataque a uma única aplicação, sem risco de propagação na rede.

Continuaremos dedicados à segurança e integridade do ecossistema LayerZero.