LayerZero опублікував звіт дослідження: Аналіз безпосередніх причин і процесу зламу KelpDAO

Джерело: LayerZero; Переклад: Golden Finance Claw

Заява щодо інциденту з атакою KelpDAO

18 квітня 2026 року KelpDAO зазнала атаки, внаслідок якої було втрачено приблизно 290 мільйонів доларів США. Попередні ознаки свідчать, що ця атака була викликана високорозвиненою державною хакерською організацією, ймовірно, групою Lazarus з Північної Кореї (конкретно гілкою TraderTraitor). Цей інцидент обмежився конфігурацією rsETH KelpDAO, її безпосередньою причиною є використання однієї DVN (децентралізованої мережі верифікації). Інші міжланцюгові активи або додатки не зазнали жодних ризиків поширення.

Ця високорозвинена атака була спрямована на зараження інфраструктури нижнього рівня RPC (віддаленого виклику процедур), яку використовує LayerZero Labs DVN. Наразі всі уражені RPC-ноді були відмовлені та замінені, а DVN LayerZero Labs вже відновлено.

Ми ділимося цими деталями, щоб допомогти спільноті краще зрозуміти та запобігти цьому новому державному вектору атаки.

Передумови: модульна безпекова архітектура LayerZero

Протокол LayerZero побудований на модульній, налаштовуваній безпековій основі. Децентралізовані мережі верифікації (DVNs) є незалежними суб’єктами, відповідальними за підтвердження цілісності міжланцюгових повідомлень. Важливо, що протокол не вимагає єдиного безпекового налаштування. Навпаки, він надає кожному додатку та емітенту активів право визначати свою безпекову ситуацію, включаючи залежність від певних DVN, їх комбінацію та встановлення рівнів резервування.

Краща практика галузі — і чітка рекомендація LayerZero для всіх інтеграторів — полягає у налаштуванні багатьох DVN з різноманітністю та резервуванням. Це означає, що жодна окрема DVN не повинна виступати як односторонній довірений пункт або точка відмови.

Обсяг і поширення: лише rsETH

Ми провели всебічний огляд активних інтеграцій протоколу LayerZero. Ми можемо з упевненістю підтвердити, що ризик поширення на інші активи або додатки відсутній. Цей інцидент був цілковито ізольований через конфігурацію однієї DVN у KelpDAO, що стосувалася лише rsETH.

Уразливий додаток — це rsETH, випущений KelpDAO. На момент інциденту його конфігурація OApp залежала від “1 до 1” DVN, з єдиним верифікатором — LayerZero Labs — що прямо порушує рекомендації LayerZero щодо багатократної резервної моделі DVN. Конфігурація з однією точкою відмови означає відсутність незалежних верифікаторів для виявлення та відхилення підроблених повідомлень. LayerZero та інші зовнішні організації раніше повідомляли KelpDAO про кращі практики диверсифікації DVN, але, незважаючи на ці рекомендації, KelpDAO все ж обрала конфігурацію 1/1 DVN.

Якщо б застосовувалися раціональні заходи безпеки, атака вимагала б досягнення консенсусу між кількома незалежними DVN, і навіть у разі компрометації однієї з них, атака була б неможливою.

Хід подій

18 квітня 2026 року DVN LayerZero Labs став ціллю високорозвиненої атаки. Зловмисники шляхом підміни або “отруєння” нижньої інфраструктури RPC зламали кілька RPC-нод, що використовуються для підтвердження транзакцій DVN. Це не було здійснено через вразливості протоколу, саму DVN або управління ключами.

Замість цього, зловмисники отримали список RPC, що використовуються нашим DVN, зламали два незалежні вузли та замінили бінарні файли, що запускають ноди op-geth. Завдяки принципу “мінімальних привілеїв” вони не змогли зламати самі DVN-інстанції. Однак вони використали цю ситуацію для виконання RPC-шахрайства:

• Зловмисний вузол використовував налаштоване навантаження для підробки повідомлень DVN.

• Цей вузол брехав DVN, але повідомляв реальну інформацію будь-яким іншим IP-адресам (у тому числі нашим скануючим сервісам та внутрішнім системам моніторингу). Це було ретельно сплановано для запобігання виявленню з боку систем безпеки.

• Після завершення атаки зловмисний вузол сам знищував себе, відключав RPC і видаляв зловмисні бінарні файли та відповідні журнали.

Крім того, зловмисники провели DDoS-атаки на не зламані RPC, що спричинило перемикання системи (failover) на вже отруєний RPC-нод. В результаті, інстанції DVN LayerZero Labs зафіксували транзакції, яких фактично не було.

Безпековий стан LayerZero Labs

Ми використовуємо повний набір засобів виявлення та реагування (EDR), суворий контроль доступу, ізольоване середовище та ведемо повний журнал системи. Наші DVN працюють у поєднанні з внутрішніми та зовнішніми RPC-нодами. Наразі ми перебуваємо на фінальній стадії аудиту SOC2.

Майбутнє

1. Відновлення DVN: LayerZero Labs DVN вже відновлено. Додатки з багатократною резервною конфігурацією можуть безпечно відновлювати роботу.

2. Обов’язковий перехід: Ми зв’язуємося з усіма додатками, що використовують конфігурацію 1/1 DVN, з вимогою перейти на багатократну резервну модель. LayerZero Labs DVN більше не підписуватиме або підтверджуватиме повідомлення для додатків із такою конфігурацією.

3. Співпраця з правоохоронними органами: Ми співпрацюємо з кількома правоохоронними органами по всьому світу та підтримуємо партнерів у галузі та Seal911 у відстеженні коштів.

Підсумки

Ми хочемо чітко зазначити: сама архітектура протоколу LayerZero у цій ситуації працювала цілком відповідно до очікувань. Вразливостей протоколу не виявлено. Якби це був одинна система або спільна безпекова модель, ризик поширення міг би торкнутися всіх додатків. Унікальна характеристика архітектури LayerZero — її модульність безпеки, яка у цьому випадку довела свою ефективність — ізоляція атаки в межах одного додатку, без ризику поширення у системі.

Ми й надалі прагнутимемо забезпечити безпеку та цілісність екосистеми LayerZero.