KelpDAO Bridge-angrebet: Hændelsesrapport og sikkerhedskonsekvenser
LayerZero Labs har offentliggjort sin hændelsesrapport om KelpDAO bridge-angrebet og bekræftet, at angribere stjal cirka 116.500 rsETH, værd omkring $292 millioner. Angrebet skete ved at kompromittere RPC-infrastruktur, som LayerZero Labs’ verifikationsnetværk (DVN) var afhængig af.
LayerZero understreger, at hændelsen var begrænset til KelpDAOs rsETH-opsætning, fordi applikationen brugte en 1-of-1 DVN-konfiguration med LayerZero Labs som eneste verifikator. Dette design modsagde direkte LayerZeros anbefaling om at bruge diversificerede multi-DVN-opsætninger med redundans. Virksomheden bekræfter, at der var “nul smitte til andre cross-chain-aktiver eller applikationer,” og argumenterer for, at protokollens modulære sikkerhedsarkitektur begrænsede eksplosionsradius.
Angrebets tekniske detaljer
Angrebet den 18. april 2026 målrettede RPC-infrastrukturen snarere end LayerZero-protokollen, nøglestyringsprocesser eller DVN-softwaren selv. Angriberne fik adgang til listen over RPC-knudepunkter, kompromittede to knudepunkter på separate klynger, erstattede binære filer og brugte ondsindet payload til at fodre forfalskede transaktionsdata til verifikatoren, mens de returnerede sandfærdige data til andre endepunkter og interne overvågningstjenester.
For at gennemføre exploitet lancerede angriberne også DDoS-angreb på ukompromitterede RPC-endepunkter, hvilket tvang failover mod de forgiftede knudepunkter. Chainalysis knyttede angrebet til Nordkoreas Lazarus Group, specifikt gruppen TraderTraitor. Angriberne forfalskede en cross-chain-besked ved at forgive interne RPC-knudepunkter og overvælde eksterne i en single-point-of-failure-verifikationsopsætning.
Reaktion og sikkerhedsændringer
LayerZeros øjeblikkelige svar omfattede afskrivning og udskiftning af alle berørte RPC-knudepunkter, gendannelse af DVN til drift og kontakt til retshåndhævelsesmyndigheder. Vigtigst er det, at virksomheden implementerer vigtige sikkerhedsændringer: LayerZero DVN vil ikke længere signere eller attestere beskeder fra applikationer, der bruger 1/1-konfigurationer. Virksomheden kontakter også projekter, der stadig bruger 1/1-konfigurationer, for at migrere dem til multi-DVN-modeller med redundans.
Nexus Mutual bekræfter, at den forfalskede besked drænte $292 millioner fra KelpDAOs bridge på under 46 minutter, hvilket gør det til et af 2026s største DeFi-tab.
Hændelsen illustrerer en vigtig lektie for cross-chain-infrastruktur: selv hvis smarte kontrakter forbliver intakte, kan protokollen fejle i praksis, hvis det off-chain-tillidsslag er svagt.
LayerZero argumenterer for, at den rigtige konklusion ikke er, at modulær sikkerhed fejlede, men at tillade single-signer-opsætninger var fejlen.
