LayerZero опублікував звіт дослідження: Аналіз безпосередніх причин і процесу зламу KelpDAO

Джерело: LayerZero; Переклад: Golden Finance Claw

Заява щодо інциденту з атакою KelpDAO

18 квітня 2026 року KelpDAO зазнала атаки, внаслідок якої було втрачено приблизно 290 мільйонів доларів США. Попередні ознаки свідчать, що ця атака походить від високорозвиненої державної хакерської організації, ймовірно, з Північної Кореї, Lazarus Group (конкретно гілка TraderTraitor). Ця подія обмежилася лише конфігурацією rsETH KelpDAO, її безпосередньою причиною є використання однієї DVN (децентралізованої мережі верифікації). Інші міжланцюгові активи або застосунки не зазнали жодних ризиків поширення.

Ця високорозвинена атака була спрямована на зараження інфраструктури нижнього рівня RPC (віддаленого виклику процедур), яку використовує LayerZero Labs DVN. Наразі всі уражені RPC-ноді були відмовлені та замінені, а LayerZero Labs DVN вже відновлено.

Ми ділимося цими деталями, щоб допомогти спільноті краще зрозуміти та запобігти цьому новому державному вектору атаки.

Передумови: Модульна безпекова архітектура LayerZero

Протокол LayerZero базується на модульній, налаштовуваній безпековій основі. Децентралізовані мережі верифікації (DVNs) є незалежними суб’єктами, відповідальними за підтвердження цілісності міжланцюгових повідомлень. Важливо, що протокол не вимагає єдиного безпекового налаштування. Навпаки, він надає кожному застосунку та емітенту активів можливість визначати свою безпекову ситуацію, включаючи залежність від певних DVN, їх комбінацію та встановлення рівнів резервування.

Краща практика галузі — і також чітко рекомендована LayerZero для всіх інтеграторів — налаштовувати багатий DVN з різноманітністю та резервуванням. Це означає, що будь-яка одна DVN не повинна становити односторонню точку довіри або точку відмови.

Обсяг і поширення: лише rsETH

Ми провели всебічний огляд інтеграцій активностей на протоколі LayerZero. Ми можемо з упевненістю підтвердити, що ризик поширення на будь-які інші активи або застосунки відсутній. Ця подія цілком ізольована через конфігурацію KelpDAO з однією DVN.

Уразливим застосунком є rsETH, випущений KelpDAO. На момент інциденту його конфігурація OApp залежала від “1 до 1” DVN, з єдиним верифікатором — LayerZero Labs — що прямо порушує багатий резервний модель LayerZero, яку вона постійно рекомендує всім партнерам. Конфігурація з однією точкою відмови означає відсутність незалежних верифікаторів для виявлення та відхилення підроблених повідомлень. Раніше LayerZero та інші зовнішні організації повідомляли KelpDAO про найкращі практики диверсифікації DVN, але, незважаючи на ці рекомендації, KelpDAO все ж обрала конфігурацію 1/1 DVN.

Якщо б застосовувалися обґрунтовані заходи безпеки, атака вимагала б досягнення консенсусу між кількома незалежними DVN, і навіть у разі компрометації однієї з них, атака була б неможливою.

Хід подій

18 квітня 2026 року DVN LayerZero Labs став ціллю високорозвиненої атаки. Зловмисники шляхом підміни або “отруєння” нижніх RPC-інфраструктур зламали кілька RPC-нод, які використовуються для підтвердження транзакцій DVN. Це не було здійснено через вразливості протоколу, саму DVN або управління ключами.

Замість цього зловмисники отримали список RPC, що використовуються нашим DVN, зламали дві незалежні ноди та замінили бінарні файли, що запускають ноду op-geth. Завдяки нашому принципу “мінімальних привілеїв” вони не змогли зламати самі DVN-інстанції. Однак вони використали цю ситуацію для проведення атаки через RPC-обман:

• Зловмисна нода використовувала налаштоване навантаження для підробки повідомлень DVN.

• Ця нода брехала DVN, але повідомляла правдиву інформацію будь-яким іншим IP-адресам (у тому числі нашим скануючим сервісам та внутрішнім системам моніторингу). Це ретельно спроектовано для запобігання виявленню зловмисної активності.

• Після завершення атаки зловмисна нода самознищувалась, відключала RPC та видаляла зловмисні бінарні файли і відповідні журнали.

Крім того, зловмисники здійснили DDoS-атаки на непошкоджені RPC, що спричинило перемикання системи (failover) на вже отруєні RPC-ноді. В результаті, інстанції DVN LayerZero Labs підтвердили, що транзакції, які ніколи не відбувалися, були “задокументовані”.

Безпекова ситуація LayerZero Labs

Ми використовуємо повний набір засобів виявлення та реагування (EDR), суворий контроль доступу, ізольоване середовище та ведемо повний журнал системи. Наші DVN працюють як на внутрішніх, так і на зовнішніх RPC-нодах. Наразі ми перебуваємо на фінальній стадії аудиту SOC2.

Майбутнє

1. Відновлення DVN: LayerZero Labs DVN вже відновлено. Застосунки з багатим DVN можуть безпечно відновлювати роботу.

2. Обов’язковий перехід: Ми зв’язуємося з усіма застосунками, що використовують конфігурацію 1/1 DVN, з вимогою перейти до багатого резервного налаштування. LayerZero Labs DVN більше не підписуватиме або підтверджуватиме повідомлення для застосунків з конфігурацією 1/1.

3. Співпраця з правоохоронними органами: Ми співпрацюємо з кількома правоохоронними органами по всьому світу та підтримуємо партнерів галузі і Seal911 у відслідковуванні коштів.

Підсумки

Ми хочемо чітко зазначити: сама протокольна архітектура LayerZero у цій події працювала цілком відповідно до очікувань. Вразливостей протоколу не виявлено. Якби це був одинна система або спільна безпекова система, ризик поширення міг би торкнутися всіх застосунків. Унікальна характеристика архітектури LayerZero — модульність безпеки, і саме вона у цьому випадку проявила себе — ізоляція атаки в межах одного застосунку, без ризику поширення у системі.

Ми й надалі прагнутимемо забезпечити безпеку та цілісність екосистеми LayerZero.