Відкрите листа LayerZero Labs намагається пояснити невдачі, пов’язані з хакерською атакою KelpDAO

LayerZero Labs опублікували відкритого листа, в якому пояснили свої невдачі у комунікації та операціях після хакерської атаки KelpDAO групою Lazarus. Кіберзлочин не вплинув на протокол LayerZero Labs, але зачепив їх внутрішні системи, що змусило компанію визнати помилки у попередніх операціях.

LayerZero Labs опублікували свій вибачальний лист 8 травня 2026 року.

LayerZero визнає зловживання мультиsig у минулому.

Близько 19 квітня 2026 року група Lazarus атакувала внутрішні RPC-ноді LayerZero Labs, які використовувалися їхньою мережею DVN. Зловмисники пошкодили джерело правди для цих внутрішніх RPC і одночасно запустили DDoS-атаку на зовнішнього провайдера RPC LayerZero Labs. LayerZero пояснили, що протокол LayerZero не постраждав під час цієї інциденту.

Як повідомляє Cryptopolitan, хак вплинув лише на один додаток, що становить 0,14% від усіх додатків LayerZero і 0,36% від загальної вартості активів, що були передані через платформу. Злом призвів до експлойту rsETH на 300 мільйонів доларів, спрямованого на KelpDAO.

У вибаченні LayerZero Labs також прокоментували ще одну проблему безпеки, яка сталася три з половиною роки тому. В одному випадку підписувач використовував апаратний гаманець, призначений для мультиsig-транзакцій, для окремої транзакції з торгівлі мемкоїнами McPepes на Uniswap за допомогою їхнього особистого гаманця.

Підписувач був замінений, гаманці були обміняні, і були вжиті заходи для запобігання подібних випадків у майбутньому.

Це суперечило попереднім публічним заявам співзасновника LayerZero Браяна Пеллегріно, який менш ніж за 24 години раніше називав такі дії стандартним «OFT тестування». Деякі користувачі вказали на розбіжність, зазначивши, що мемкоїни, що брали участь, спостерігалися у багатьох транзакціях із того самого мультиsig-гаманця досить довго.

Як повідомляє Cryptopolitan, LayerZero пояснили, що їхній механізм мультиsig дозволяє контролювати лише функціональність Endpoint, включаючи додавання ланцюгів і тестові оновлення за замовчуванням.

LayerZero закликає розробників покращити безпеку

LayerZero підтвердили свою базову архітектуру, розроблену для усунення єдиних точок відмови, характерних для традиційних мостів. Кожен додаток може незалежно володіти своєю кінцевою безпекою без залежності від LayerZero Labs.

Компанія порадила розробникам вжити конкретних заходів: закріпити всі налаштування, щоб уникнути стандартних налаштувань, контрольованих LayerZero Labs; збільшити кількість підтверджень блоків на кожному ланцюгу для мінімізації ризиків реорганізації; налаштувати DVN з щонайменше двома (краще трьома-п’ятьма) незалежними сторонами; і розглянути можливість запуску власного необхідного DVN.

Компанія також навела деякі припущення щодо довіри та життєздатності. За замовчуванням, додатки LayerZero і DVN, що залежать від одного перевіряча, покладаються на всю довіру до мультиsig LayerZero Labs. Послуги реле газу, такі як Essence і виконавці LayerZero, впливають лише на життєздатність.

Після інциденту LayerZero Labs більше не підтримує DVN у конфігурації 1/1; натомість, стандартні маршрути були оновлені до конфігурацій 5/5 або 3/3, де можливо, і розробка клієнта DVN на Rust вже ведеться.

Вплив DeFi від злома LayerZero

Реакція на атаку була зустрінута негайною критикою через її початкову спробу перекласти відповідальність на партнерів. KelpDAO і Solv Protocol вже перейшли на Chainlink, а Beefy, Ethena, BitGo, Lombard та багато інших переглядають свої інтеграції.

Існують побоювання щодо зменшення обсягів транзакцій через мости, доходів Stargate і викупу токенів $ZRO .

Чи можна вже врятувати LayerZero?

Після експлойту ~$300M rsETH, @LayerZero_Core звинуватили своїх партнерів замість взяття відповідальності на себе, і вони відчули наслідки одразу. @KelpDAO і @SolvProtocol вже покинули платформу, мігрувавши до @Chainlink.

Більше того, нижченаведені проекти… pic.twitter.com/hkKHCHXGou

— Winter Soldier ❄️🙋🏻‍♂️ (@WinterSoldierxz) 9 травня 2026 року

LayerZero Labs пообіцяли виділити 5000 ETH на план порятунку DeFi United і ще 5000 ETH для підтримки ліквідності пулів Aave у відповідь на атаку. Однак цей інцидент викликав широку дискусію щодо безпеки міжланцюгових протоколів, незважаючи на висловлене вибачення і обіцянку покращити поріг мультиsig, який встановлений на рівні 7/10 за допомогою OneSig.

LayerZero Labs стверджують, що протокол залишається важливим інструментом для проведення безпечних і значних транзакцій, але доведеться почекати кілька тижнів, щоб побачити, як рухаються розробники та організації.

Ваш банк використовує ваші гроші. Ви отримуєте решту. Дивіться наше безкоштовне відео про те, як стати своїм власним банком.