LayerZero опубликовала отчет по результатам расследования: анализ прямых причин и процесса взлома KelpDAO

Источник: LayerZero; Перевод: 金色财经Claw

Заявление о инциденте с атакой KelpDAO

18 апреля 2026 года KelpDAO подвергся атаке, в результате которой было потеряно около 290 миллионов долларов США. Предварительные признаки указывают на то, что эта атака исходила от высокоразвитой государственно поддерживаемой хакерской организации, наиболее вероятно из группы Lazarus из Северной Кореи (конкретно ветка TraderTraitor). Этот инцидент ограничился только конфигурацией rsETH KelpDAO, его непосредственной причиной является использование единой DVN (децентрализованной сети проверки) настройки. Другие межцепочные активы или приложения не подверглись риску распространения.

Данная высокоразвитая атака была направлена на заражение инфраструктуры нижнего уровня RPC (удалённого вызова процедур), используемой DVN LayerZero Labs. В настоящее время все пострадавшие RPC-узлы были отключены и заменены, а DVN LayerZero Labs снова запущен.

Мы делимся этими деталями, чтобы помочь сообществу лучше понять и предотвратить подобные новые государственно поддерживаемые векторы атак.

Фон: модульная архитектура безопасности LayerZero

Протокол LayerZero построен на модульной, настраиваемой для приложений базе безопасности. Децентрализованные сети проверки (DVNs) — это независимые субъекты, отвечающие за проверку целостности межцепочных сообщений. Важный момент — протокол не навязывает единую конфигурацию безопасности. Напротив, он предоставляет каждому приложению и эмитенту активов возможность определить свою собственную стратегию безопасности, включая выбор DVN, их комбинацию и установку уровней избыточности.

Лучшие отраслевые практики — и явно рекомендуемые LayerZero для всех интеграторов — предполагают настройку с множеством DVN, обеспечивающих разнообразие и избыточность. Это означает, что любой один DVN не должен становиться односторонним точкой доверия или отказа.

Область и распространение: только rsETH

Мы провели всесторонний аудит интеграции активностей на протоколе LayerZero. Можем уверенно подтвердить, что риск распространения на любые другие активы или приложения отсутствует. Этот инцидент полностью изолирован и обусловлен конфигурацией единого DVN в KelpDAO, касающейся только rsETH.

Пострадавшее приложение — это rsETH, выпущенный KelpDAO. На момент инцидента его конфигурация OApp зависела от настройки “1 из 1” DVN, использующей только LayerZero Labs в качестве единственного проверяющего — что прямо противоречит рекомендациям LayerZero по использованию многообразных и избыточных конфигураций DVN. Настройка с одним узлом означает отсутствие независимых проверяющих, способных обнаружить и отклонить поддельные сообщения. Ранее LayerZero и другие внешние организации передавали KelpDAO рекомендации по диверсификации DVN, однако, несмотря на эти советы, KelpDAO выбрал конфигурацию 1/1 DVN.

При использовании разумных мер усиления атака должна была бы потребовать согласия нескольких независимых DVN, и даже при взломе одного из них, атака потерпела бы неудачу.

Ход событий

18 апреля 2026 года DVN LayerZero Labs стал целью высокоразвитой атаки. Злоумышленники путем изменения или “отравления” инфраструктуры нижнего уровня RPC взломали RPC, на который опирается проверка транзакций DVN. Это не произошло из-за уязвимости протокола, самой DVN или управления ключами.

Вместо этого злоумышленники получили список RPC, используемых нашим DVN, взломали два независимых узла и заменили бинарные файлы, запускающие узлы op-geth. Благодаря принципу “минимальных привилегий” они не смогли взломать саму DVN-инстанцию. Однако, они использовали это как трамплин для проведения атаки с подделкой RPC:

• Вредоносный узел использовал пользовательский нагрузочный код для подделки сообщений DVN.

• Этот узел лгал DVN, но при этом сообщал правдивую информацию для любых других IP-адресов (включая наши сканирующие сервисы и внутренние системы мониторинга). Такой продуманный дизайн предотвращал обнаружение аномалий системами безопасности.

• После завершения атаки вредоносный узел самоуничтожался, отключал RPC и удалял вредоносные бинарные файлы и связанные с ними логи.

Кроме того, злоумышленники провели DDoS-атаку на не взломанные RPC, что вызвало переключение системы (failover) на уже отравленные RPC-узлы. В результате, экземпляр DVN LayerZero Labs зафиксировал транзакции, которых на самом деле не происходило.

Безопасность LayerZero Labs

Мы используем полноценные системы обнаружения и реагирования (EDR), строгий контроль доступа, полностью изолированные среды и ведем полное логирование всей системы. Наши DVN работают как на собственных, так и на внешних RPC-узлах. В настоящее время мы находимся на финальной стадии аудита SOC2.

Путь вперед

1. Восстановление DVN: DVN LayerZero Labs восстановлен. Приложения, использующие много DVN, могут безопасно возобновить работу.

2. Обязательный переход: Мы связываемся со всеми приложениями, использующими конфигурацию 1/1 DVN, и требуем миграции на многообразную избыточную настройку. DVN LayerZero Labs больше не будет подписывать или подтверждать сообщения для приложений с конфигурацией 1/1.

3. Сотрудничество с правоохранительными органами: Мы сотрудничаем с несколькими международными правоохранительными агентствами и поддерживаем отраслевых партнеров и Seal911 в отслеживании средств.

Итог

Нам важно подчеркнуть: сама архитектура протокола LayerZero в ходе этого инцидента работала полностью в соответствии с ожиданиями. Уязвимостей протокола не обнаружено. Если бы использовалась единая система или общая система безопасности, риск распространения мог бы затронуть все приложения. Модульная безопасность — уникальная характеристика архитектуры LayerZero, которая в данном случае сыграла свою роль — инцидент был полностью изолирован внутри одного приложения, без риска распространения внутри системы.

Мы продолжим прилагать усилия для обеспечения безопасности и целостности экосистемы LayerZero.