A LayerZero Labs publicou o seu relatório de incidente sobre o ataque à ponte KelpDAO, afirmando que foram roubados cerca de 292 milhões de dólares em rsETH após os atacantes envenenarem a infraestrutura de RPC utilizada pela sua rede de verificação e forçarem mudanças de política em configurações de único verificador.
Resumo
- A LayerZero disse que a KelpDAO foi explorada para cerca de 290 milhões de dólares, ou aproximadamente 116.500 rsETH, num ataque isolado ao setup de single-DVN da rsETH.
- A empresa disse que os indicadores preliminares apontam para TraderTraitor, ligado à Coreia do Norte, e descreveu o exploit como uma falha de comprometimento de infraestrutura em vez de um erro do protocolo.
- A LayerZero disse que vai deixar de assinar mensagens para aplicações que utilizem configurações 1/1 de DVN e está a orientar os integradores afetados para redundância multi-DVN.
A LayerZero Labs publicou um relato detalhado do exploit da KelpDAO, confirmando que os atacantes roubaram cerca de 116.500 rsETH, no valor de aproximadamente 292 milhões de dólares, ao comprometerem a infraestrutura a jusante ligada à camada de verificação utilizada na configuração cross-chain da KelpDAO.
A empresa disse que o incidente ficou limitado ao setup de rsETH da KelpDAO porque a aplicação dependia de uma configuração 1-of-1 de DVN, com a LayerZero Labs como único verificador — um desenho que a LayerZero afirma que contradiz diretamente a sua recomendação em vigor de que as aplicações utilizem setups multi-DVN diversificados com redundância.
Na sua declaração, a LayerZero afirmou que houve “zero contágio para quaisquer outros ativos cross-chain ou aplicações”, argumentando que a arquitetura modular de segurança do protocolo continha a área de impacto mesmo quando uma configuração ao nível de uma única aplicação falhou.
Como funcionou o ataque {#how-the-attack-worked}
De acordo com o relatório da LayerZero, o ataque de 18 de abril de 2026 visou a infraestrutura de RPC em que o DVN da LayerZero Labs se baseia, em vez de explorar o protocolo da LayerZero, a gestão de chaves ou o próprio software do DVN.
A empresa disse que os atacantes obtiveram acesso à lista de RPCs utilizados pelo DVN, comprometeram dois nós a correr em clusters separados, substituíram binários nos nós op-geth e, depois, usaram cargas maliciosas para fornecer dados de transação forjados ao verificador, devolvendo dados verdadeiros a outros endpoints, incluindo serviços internos de monitorização.
Para completar o exploit, os atacantes também lançaram ataques DDoS em endpoints de RPC não comprometidos, o que despoletou failover para os nós envenenados e permitiu ao DVN da LayerZero Labs confirmar transações que, na realidade, nunca tinham ocorrido.
O trabalho forense externo em grande medida corresponde a essa descrição. A Chainalysis disse que os atacantes ligados ao Lazarus Group da Coreia do Norte, especificamente TraderTraitor, não exploraram um bug num smart contract, mas sim forjaram uma mensagem cross-chain envenenando nós internos de RPC e sobrecarregando os nós externos num setup de verificação com ponto único de falha.
Mudanças de segurança {#security-changes}
A LayerZero disse que a resposta imediata incluiu descontinuar e substituir todos os nós de RPC afetados, restaurar o funcionamento do DVN da LayerZero Labs e contactar agências de aplicação da lei, trabalhando com parceiros da indústria e com a Seal911 para rastrear os fundos roubados.
Mais importante ainda, a empresa está a mudar a forma como lida com configurações de risco. Na declaração, a LayerZero disse que o seu DVN “não irá assinar nem atestar mensagens de quaisquer aplicações que utilizem uma configuração 1/1”, uma mudança direta de política destinada a evitar a repetição do modo de falha da KelpDAO.
A empresa também está a contactar projetos que ainda utilizam configurações 1/1 para migrá-los para modelos multi-DVN com redundância, admitindo efetivamente que a flexibilidade de configuração sem barreiras de segurança impostas era demasiado permissiva na prática.
O quadro da atribuição também se tornou mais sólido. A Chainalysis ligou o exploit ao Lazarus Group da Coreia do Norte e, especificamente, ao TraderTraitor, enquanto a Nexus Mutual disse que a mensagem forjada drenou 292 milhões de dólares da ponte da KelpDAO em menos de 46 minutos, tornando-se uma das maiores perdas em DeFi de 2026.
O resultado é uma lição familiar, mas brutal, para infraestruturas cross-chain: os smart contracts podem sobreviver intactos e o protocolo pode ainda falhar na prática se a camada de confiança off-chain for suficientemente fraca. A LayerZero está agora a tentar demonstrar que a conclusão certa a retirar de um roubo de ponte de 292 milhões de dólares não é que a segurança modular falhou, mas sim que permitir que qualquer pessoa executasse um setup de single-signer foi o verdadeiro erro.
