LayerZero опубликовала отчет по исследованию: анализ причин и процесса взлома KelpDAO

Источник: LayerZero; Перевод: 金色财经Claw

Заявление о инциденте с атакой KelpDAO

18 апреля 2026 года KelpDAO подвергся атаке, в результате которой было потеряно около 290 миллионов долларов США. Предварительные признаки указывают на то, что эта атака исходила от высокоорганизованной государственно поддерживаемой хакерской группы, наиболее вероятно из Lazarus Group из Северной Кореи (конкретно ветка TraderTraitor). Этот инцидент ограничился только конфигурацией rsETH KelpDAO, его непосредственной причиной является использование единственной DVN (децентрализованной сети верификации). Другие межцепочные активы или приложения не подверглись риску распространения.

Данная высокоорганизованная атака была направлена на заражение инфраструктуры RPC (удалённого вызова процедур) нижнего уровня, используемой LayerZero Labs DVN. В настоящее время все пострадавшие RPC-узлы были отключены и заменены, а DVN LayerZero Labs снова запущен.

Мы делимся этими деталями, чтобы помочь сообществу лучше понять и предотвратить подобные новые государственно поддерживаемые векторы атак.

Фон: Модульная архитектура безопасности LayerZero

Протокол LayerZero построен на модульной, настраиваемой для приложений базе безопасности. Децентрализованные сети верификации (DVNs) — это независимые субъекты, отвечающие за проверку целостности межцепочных сообщений. Важный момент — протокол не навязывает единую конфигурацию безопасности. Напротив, он предоставляет каждому приложению и эмитенту активов возможность определить свою собственную стратегию безопасности, включая выбор DVN, их комбинацию и настройку уровней резервирования.

Лучшие отраслевые практики — и явно рекомендуемые LayerZero для всех интеграторов — предполагают настройку с множеством DVN, обеспечивающих разнообразие и резервирование. Это означает, что любой один DVN не должен становиться односторонним точкой доверия или отказа.

Область и распространение: только rsETH

Мы провели всесторонний аудит интеграции активов на протоколе LayerZero. Можем уверенно подтвердить, что риск распространения на любые другие активы или приложения отсутствует. Этот инцидент полностью обусловлен конфигурацией с одним DVN в KelpDAO и изолирован только от их rsETH.

Пострадавшее приложение — это rsETH, выпущенный KelpDAO. На момент инцидента его конфигурация OApp полагалась на «один один» DVN, использующий только LayerZero Labs в качестве единственного верификатора — что прямо противоречит рекомендациям LayerZero по использованию резервирования с несколькими DVN. Конфигурация с одним узлом отказа означает отсутствие независимых проверяющих, способных обнаружить и отклонить поддельные сообщения. LayerZero и другие внешние организации ранее передавали KelpDAO рекомендации по диверсификации DVN, однако, несмотря на эти советы, KelpDAO выбрали конфигурацию 1/1 DVN.

При использовании разумных мер усиления атака должна была потребовать достижения консенсуса между несколькими независимыми DVN, и даже при взломе одного из них атака становилась бы невозможной.

Ход событий

18 апреля 2026 года DVN LayerZero Labs стал целью высокоорганизованной атаки. Злоумышленники путем изменения или «отравления» инфраструктуры RPC нижнего уровня взломали количество RPC, необходимое для подтверждения транзакций (кворум). Это не было реализовано через уязвимость протокола, сам DVN или управление ключами.

Напротив, злоумышленники получили список RPC, используемых нашим DVN, взломали два независимых узла и заменили бинарные файлы, запускающие узлы op-geth. Благодаря принципу «минимальных привилегий» они не смогли взломать саму инстанцию DVN. Однако, они использовали это как трамплин для проведения атаки с подделкой RPC:

• Вредоносный узел использовал пользовательский нагрузочный код для подделки сообщений DVN.

• Этот узел лгал DVN, но сообщал реальную информацию для всех остальных IP-адресов (включая наши сканирующие сервисы и внутренние системы мониторинга). Эта тщательно продуманная схема предназначена для предотвращения обнаружения аномалий системами безопасности.

• После завершения атаки вредоносный узел самоуничтожался, отключал RPC и удалял вредоносные бинарные файлы и связанные с ними логи.

Кроме того, злоумышленники провели DDoS-атаку на не взломанные RPC, что вызвало переключение системы (failover) на уже отравленные RPC-узлы. В результате, экземпляры DVN, управляемые LayerZero Labs, зафиксировали транзакции, которых на самом деле не происходило.

Безопасность LayerZero Labs

Мы используем полноценные системы обнаружения и реагирования (EDR), строгий контроль доступа, полностью изолированные среды и ведем полное логирование системы. Наши DVN работают как на собственных, так и на внешних RPC-узлах. В настоящее время мы находимся на финальной стадии аудита SOC2.

Путь вперед

1. Восстановление DVN: LayerZero Labs DVN восстановлен и работает. Приложения, использующие множественные DVN, могут безопасно возобновить работу.

2. Обязательный переход: Мы связываемся со всеми приложениями, использующими конфигурацию 1/1 DVN, и требуем миграции на резервированные конфигурации с несколькими DVN. LayerZero Labs DVN больше не будет подписывать или подтверждать сообщения для приложений с конфигурацией 1/1.

3. Сотрудничество с правоохранительными органами: Мы сотрудничаем с международными правоохранительными органами и поддерживаем отраслевых партнеров и Seal911 в отслеживании средств.

Итог

Нам нужно ясно понять: сама архитектура протокола LayerZero в ходе этого инцидента полностью функционировала согласно ожиданиям. Не обнаружено уязвимостей протокола. Если бы это была единая система или система с общей безопасностью, риск распространения мог бы затронуть все приложения. Уникальная особенность архитектуры LayerZero — модульность безопасности, которая в данном случае сыграла свою роль — инцидент был полностью изолирован внутри одного приложения, без риска распространения внутри системы.

Мы продолжим работать над безопасностью и целостностью экосистемы LayerZero.