LayerZero опублікував звіт дослідження: Аналіз безпосередніх причин і процесу зламу KelpDAO

Джерело: LayerZero; Переклад: Golden Finance Claw

Заява щодо інциденту з атакою KelpDAO

18 квітня 2026 року KelpDAO зазнав атаки, внаслідок якої було втрачено приблизно 290 мільйонів доларів США. Попередні ознаки свідчать, що ця атака була викликана високорозвиненою державною хакерською організацією, ймовірно, групою Lazarus з Північної Кореї (конкретно гілкою TraderTraitor). Цей інцидент обмежився лише конфігурацією rsETH KelpDAO, її безпосередньою причиною є використання однієї DVN (децентралізованої мережі верифікації). Інші міжланцюгові активи або додатки не зазнали ризику поширення.

Ця високорозвинена атака була спрямована на зараження інфраструктури нижнього рівня RPC (віддаленого виклику процедур), яку використовує LayerZero Labs DVN. Наразі всі уражені RPC-ноді були відмовлені та замінені, а DVN LayerZero Labs наразі знову запущено.

Ми ділимося цими деталями, щоб допомогти спільноті краще зрозуміти та запобігти цьому новому державному вектору атаки.

Передумови: модульна безпекова архітектура LayerZero

Протокол LayerZero побудований на модульній, налаштовуваній безпековій основі. Децентралізовані мережі верифікації (DVNs) є незалежними суб’єктами, відповідальними за підтвердження цілісності міжланцюгових повідомлень. Важливо, що протокол не вимагає єдиного безпекового налаштування. Навпаки, він надає кожному додатку та емітенту активів право визначати свою безпекову ситуацію, включаючи залежність від певних DVN, їх комбінацію та встановлення рівнів резервування.

Краща практика галузі — і це чітко рекомендується LayerZero всім інтеграторам — налаштовувати багатий та резервний мульти-DVN. Це означає, що жодна окрема DVN не повинна виступати як односторонній довірений пункт або точка відмови.

Обсяг і поширення: лише rsETH

Ми провели всебічний огляд інтеграцій активності на протоколі LayerZero. Ми можемо впевнено підтвердити, що ризик поширення на інші активи або додатки відсутній. Цей інцидент був цілковито ізольований через конфігурацію KelpDAO з однією DVN.

Уразливим додатком є rsETH, випущений KelpDAO. На момент інциденту його конфігурація OApp залежала від “1 до 1” DVN, тобто лише LayerZero Labs виступав як єдиний верифікатор — ця конфігурація прямо порушує рекомендації LayerZero щодо багатої резервної моделі з кількома DVN. Конфігурація з однією точкою відмови означає відсутність незалежних верифікаторів для виявлення та відхилення підроблених повідомлень. Раніше LayerZero та інші зовнішні організації повідомляли KelpDAO про найкращі практики диверсифікації DVN, але, незважаючи на ці рекомендації, KelpDAO все ж обрала конфігурацію 1/1 DVN.

Якщо б застосовувалися раціональні заходи безпеки, атака вимагала б досягнення консенсусу між кількома незалежними DVN, і навіть у разі компрометації однієї з них, атака була б неможливою.

Хід подій

18 квітня 2026 року DVN LayerZero Labs став ціллю високорозвиненої атаки. Зловмисники шляхом підміни або “отруєння” нижніх RPC-інфраструктур зламали кілька RPC-нод, що використовуються для підтвердження транзакцій DVN. Це не було викликано вразливістю протоколу, самим DVN або управлінням ключами.

Замість цього, зловмисники отримали список RPC, що використовуються нашим DVN, зламали дві незалежні ноди та замінили бінарні файли, що запускають ноду op-geth. Завдяки нашому принципу “мінімальних привілеїв” їм не вдалося зламати реальні інстанції DVN. Однак вони використали цю ситуацію для виконання RPC-атаки обману:

• Зловмисна нода використовувала власний код для підробки повідомлень до DVN.

• Ця нода брехала DVN, але повідомляла правдиву інформацію будь-яким іншим IP-адресам (у тому числі нашим скануючим сервісам та внутрішнім системам моніторингу). Це було ретельно сплановано, щоб запобігти виявленню з боку систем безпеки.

• Після завершення атаки зловмисна нода самознищилася, відключила RPC та видалила зловмисні бінарні файли і відповідні журнали.

Крім того, зловмисники провели DDoS-атаку на непошкоджені RPC, що спричинило автоматичне перемикання системи (failover) на вже отруєні RPC-ноді. В результаті, інстанції DVN LayerZero Labs зафіксували транзакції, яких фактично не було.

Безпековий стан LayerZero Labs

Ми використовуємо повний набір засобів виявлення та реагування (EDR), суворий контроль доступу, ізольоване середовище та ведемо повний журнал системи. Наші DVN працюють як на внутрішніх, так і на зовнішніх RPC-нодах. Наразі ми перебуваємо на фінальній стадії аудиту SOC2.

Майбутнє

1. Відновлення DVN: LayerZero Labs DVN вже відновлено. Додатки з багатою DVN-резервною конфігурацією можуть безпечно відновлювати роботу.

2. Обов’язковий перехід: Ми зв’язуємося з усіма додатками, що використовують конфігурацію 1/1 DVN, з вимогою перейти на багатий резервний режим. LayerZero Labs DVN більше не підписуватиме або підтверджуватиме повідомлення для додатків з такою конфігурацією.

3. Співпраця з правоохоронними органами: Ми співпрацюємо з кількома правоохоронними органами по всьому світу та підтримуємо галузевих партнерів і Seal911 у відслідковуванні коштів.

Підсумки

Ми хочемо чітко зазначити: сама архітектура протоколу LayerZero у цій ситуації працювала цілком відповідно до очікувань. Вразливостей протоколу не виявлено. Якби це був одиннадійний або спільний безпековий механізм, ризик поширення міг би торкнутися всіх додатків. Унікальна характеристика архітектури LayerZero — модульність безпеки, яка у цьому випадку довела свою ефективність — ізоляція атаки в межах одного додатку, без ризику поширення у системі.

Ми й надалі прагнутимемо забезпечити безпеку та цілісність екосистеми LayerZero.