LayerZero publica relatório de investigação: Análise das causas e do processo do ataque ao KelpDAO

Declaração do incidente de ataque ao KelpDAO

18 de abril de 2026, o KelpDAO foi alvo de um ataque, com uma perda de aproximadamente 290 milhões de dólares. Indícios preliminares sugerem que este ataque teve origem numa organização de hackers de nível estatal altamente complexa, muito provavelmente o Lazarus Group da Coreia do Norte (especificamente o ramo TraderTraitor). Este incidente limitou-se à configuração rsETH do KelpDAO, sendo a causa direta a utilização de uma configuração de DVN (rede de validação descentralizada) única. Outros ativos ou aplicações cross-chain não apresentam qualquer risco de propagação.

Este ataque altamente sofisticado visou a infraestrutura de RPC (chamada de procedimento remoto) de downstream utilizada pelo DVN da LayerZero Labs, que foi comprometida. Atualmente, todos os nós RPC afetados foram desativados e substituídos, e o DVN da LayerZero Labs foi reativado.

Compartilhamos estes detalhes com o objetivo de ajudar a comunidade a compreender melhor e a prevenir este tipo de vetor de ataque emergente de origem estatal.

Contexto: Arquitetura de segurança modular da LayerZero

O protocolo LayerZero baseia-se numa arquitetura de segurança modular e configurável por aplicação. As redes de validação descentralizadas (DVNs) são entidades independentes responsáveis por validar a integridade das mensagens entre cadeias. Um ponto crucial é que o protocolo não impõe uma única configuração de segurança. Pelo contrário, ele autoriza cada aplicação e emissor de ativos a definir a sua própria postura de segurança, incluindo quais DVNs dependem, como as combinam e quais os limites de redundância estabelecem.

A melhor prática do setor — também recomendada explicitamente por LayerZero a todos os integradores — é configurar múltiplas DVNs com diversidade e redundância. Isto significa que nenhuma DVN única deve representar um ponto de confiança ou falha isolado.

Escopo e propagação: apenas o rsETH

Realizamos uma revisão completa das integrações de atividades no protocolo LayerZero. Podemos afirmar com segurança que não há risco de propagação para quaisquer outros ativos ou aplicações. Este incidente foi completamente isolado à configuração de DVN única do KelpDAO, afetando apenas o rsETH.

A aplicação afetada é o rsETH emitido pelo KelpDAO. No momento do incidente, sua configuração de OApp dependia de uma configuração de DVN “1 por 1”, usando apenas o LayerZero Labs como verificadores — uma configuração que viola diretamente o modelo de redundância de múltiplas DVNs que o LayerZero recomenda a todos os parceiros. Uma configuração de ponto único de falha significa que não há verificadores independentes capazes de detectar e rejeitar mensagens falsificadas. Anteriormente, o LayerZero e outras entidades externas haviam comunicado ao KelpDAO as melhores práticas para diversificação de DVNs, mas, apesar dessas recomendações, o KelpDAO optou por uma configuração 1/1 de DVN.

Se tivesse sido adotada uma configuração reforçada adequada, o ataque precisaria de consenso entre múltiplas DVNs independentes, tornando a ação maliciosa inútil mesmo que uma delas fosse comprometida.

Descrição do incidente

Em 18 de abril de 2026, o DVN da LayerZero Labs foi alvo de um ataque altamente sofisticado. Os atacantes comprometeram a infraestrutura de RPC downstream, “envenenando” ou “trocando” os nós RPC utilizados na validação de transações do DVN. Isto não ocorreu por vulnerabilidades no protocolo, na DVN ou na gestão de chaves.

Ao invés disso, os atacantes obtiveram a lista de RPCs utilizados pelo nosso DVN, comprometeram dois nós independentes e trocaram os binários que executam o nó op-geth. De acordo com o princípio de “menor privilégio”, eles não conseguiram comprometer a instância real do DVN. Contudo, usaram essa brecha para realizar ataques de falsificação de RPC:

• Nós maliciosos enviaram cargas personalizadas para falsificar mensagens ao DVN.

• Esses nós mentiram para o DVN, mas reportaram informações verdadeiras para qualquer outro IP (incluindo nossos serviços de varredura e infraestrutura de monitoramento interno). Essa estratégia foi cuidadosamente planejada para evitar que sistemas de segurança detectassem anomalias.

• Após o ataque, os nós maliciosos se autodestruíram, desativaram os RPCs e removeram os binários maliciosos e logs relacionados.

Além disso, os atacantes também realizaram ataques de DDoS aos RPCs não comprometidos, provocando uma troca automática (failover) para os nós envenenados. Como resultado, as instâncias do DVN operadas pelo LayerZero confirmaram transações que, na realidade, nunca ocorreram.

Situação de segurança do LayerZero

Mantemos uma postura de segurança robusta, com detecção e resposta em endpoint (EDR), controles de acesso rigorosos, ambientes totalmente isolados e logs completos de sistema. Nosso DVN opera em nós internos e externos, e estamos atualmente na fase final de uma auditoria SOC2.

Caminho a seguir

1. Restauração do DVN: O DVN da LayerZero Labs foi restabelecido. Aplicações com configuração de múltiplas DVNs podem retomar operações com segurança.

2. Migração obrigatória: Estamos entrando em contato com todos os aplicativos que usam configuração 1/1 de DVN, solicitando a migração para uma configuração de múltiplas DVNs com redundância. O DVN da LayerZero não assinará nem validará mensagens de aplicações que continuarem na configuração 1/1.

3. Cooperação com autoridades: Estamos colaborando com várias agências de aplicação da lei ao redor do mundo e apoiando parceiros do setor e a Seal911 na rastreabilidade de fundos.

Resumo

Queremos deixar claro: o protocolo LayerZero, por si só, operou exatamente como esperado durante todo o incidente. Não foram encontradas vulnerabilidades no protocolo. Se fosse um sistema único ou uma arquitetura de segurança compartilhada, o risco de propagação poderia afetar todas as aplicações. A característica distintiva da arquitetura do LayerZero é a segurança modular, que neste caso funcionou como deveria — isolando completamente o ataque a uma única aplicação, sem risco de propagação na rede.

Continuaremos dedicados à segurança e integridade do ecossistema LayerZero.