A carta aberta da LayerZero Labs tenta explicar as falhas relacionadas ao ataque ao KelpDAO

A LayerZero Labs publicou uma carta aberta explicando as suas falhas na comunicação e operações após o hack do KelpDAO pelo Grupo Lazarus. O ciberataque não afetou o protocolo da LayerZero Labs, mas afetou os seus sistemas internos, levando a empresa a reconhecer erros em operações anteriores.

A LayerZero Labs divulgou a sua carta de desculpas em 8 de maio de 2026.

A LayerZero admite uso indevido de multisig no passado.

Por volta de 19 de abril de 2026, o Grupo Lazarus atacou os nós RPC internos da LayerZero Labs, utilizados pela sua rede DVN. Os atacantes corromperam a fonte de verdade desses RPCs internos e, ao mesmo tempo, lançaram um ataque DDoS contra o provedor externo de RPC da LayerZero Labs. A LayerZero esclareceu que o protocolo LayerZero não foi afetado durante este incidente.

Conforme relatado pela Cryptopolitan, o hack afetou apenas uma aplicação, que representa 0,14% de todas as aplicações LayerZero e 0,36% do valor total de ativos bridged na plataforma. A violação resultou na exploração de rsETH de 300 milhões de dólares, direcionada ao KelpDAO.

Na sua desculpa, a LayerZero Labs também comentou sobre outro problema de segurança ocorrido há três anos e meio. Em uma ocasião, um signatário usou a carteira de hardware destinada a transações multisig para uma transação individual de negociação da memecoin McPepes na Uniswap, usando a sua carteira pessoal.

Um signatário foi substituído, carteiras foram trocadas, e medidas foram implementadas para evitar ocorrências semelhantes no futuro.

Isto contradizia diretamente declarações públicas anteriores do cofundador da LayerZero, Bryan Pellegrino, que havia referido tais atividades como um “teste OFT” padrão, menos de 24 horas antes. Alguns utilizadores apontaram a discrepância, observando que as memecoins envolvidas tinham sido observadas em muitas transações da mesma carteira multisig durante bastante tempo.

Conforme relatado pela Cryptopolitan, a LayerZero esclareceu que o seu mecanismo multisig permite apenas controle sobre a funcionalidade do Endpoint, incluindo adição de cadeias e atualizações padrão de teste.

A LayerZero incentiva os desenvolvedores a fazerem um melhor trabalho de segurança.

A LayerZero reiterou a sua arquitetura fundamental, projetada para eliminar pontos únicos de falha comuns nas pontes tradicionais. Cada aplicação pode possuir de forma independente a sua segurança de ponta a ponta, sem depender da LayerZero Labs.

A empresa aconselhou os desenvolvedores a tomarem medidas concretas: fixar todas as configurações para evitar configurações padrão controladas pela LayerZero Labs; aumentar as confirmações de blocos em cada cadeia para minimizar riscos de reorganização; configurar os DVNs com pelo menos duas (de preferência três a cinco) partes independentes; e considerar operar o seu próprio DVN necessário.

A empresa também listou algumas suposições sobre confiança e vivacidade. As aplicações padrão da LayerZero Labs e o DVN que dependem de um único verificador confiam toda a confiança na multisig da LayerZero Labs. Serviços de retransmissão de gás, como Essence e os executores da LayerZero, afetam apenas a vivacidade.

Após o evento, a LayerZero Labs deixou de suportar o DVN na configuração 1/1; em vez disso, os caminhos padrão foram atualizados para configurações 5/5 ou 3/3, onde possível, e o desenvolvimento de um cliente DVN em Rust está em andamento.

Implicações DeFi do incidente na LayerZero

A resposta ao ataque foi recebida com críticas imediatas por sua tentativa inicial de desviar a responsabilidade para os seus parceiros. KelpDAO e Solv Protocol já migraram os seus sistemas para Chainlink, e Beefy, Ethena, BitGo, Lombard, e muitos outros estão reconsiderando as suas integrações.

Existem preocupações sobre a redução nos volumes de transações bridged, ganhos do Stargate e recompras de tokens $ZRO .

A LayerZero não pode mais ser salva?

Após o exploit de ~$300M rsETH, @LayerZero_Core culpou os seus parceiros em vez de assumir a responsabilidade, e sentiram as consequências imediatamente. @KelpDAO e @SolvProtocol já saíram, ambos migrando para @Chainlink.

Não só isso, os projetos abaixo… pic.twitter.com/hkKHCHXGou

— Winter Soldier ❄️🙋🏻‍♂️ (@WinterSoldierxz) 9 de maio de 2026

A LayerZero Labs comprometeu 5.000 ETH ao plano de resgate DeFi United e mais 5.000 ETH para manter os pools de liquidez da Aave em resposta ao ataque. No entanto, o incidente gerou uma discussão mais ampla sobre segurança em protocolos cross-chain, apesar do pedido de desculpas expresso e da promessa de melhorar o limiar multisig, que está definido em 7/10 usando OneSig.

A LayerZero Labs mantém que o protocolo continua sendo uma ferramenta essencial para realizar transações seguras e de grande volume, mas será necessário esperar algumas semanas para ver como os desenvolvedores e organizações avançam.

O seu banco está a usar o seu dinheiro. Você está a receber as migalhas. Assista ao nosso vídeo gratuito sobre como se tornar o seu próprio banco.