LayerZero опубликовала отчет по результатам расследования: анализ прямых причин и процесса взлома KelpDAO

Источник: LayerZero; Перевод: 金色财经Claw

Заявление о инциденте с атакой KelpDAO

18 апреля 2026 года KelpDAO подвергся атаке, в результате которой было потеряно около 290 миллионов долларов США. Предварительные признаки указывают на то, что эта атака была осуществлена высокоразвитой государственно-спонсируемой хакерской группировкой, наиболее вероятно — из Северной Кореи, Lazarus Group (конкретно — ветка TraderTraitor). Этот инцидент ограничился только конфигурацией rsETH KelpDAO, его непосредственной причиной является использование единственной DVN (децентрализованной сети верификации). Другие межцепочные активы или приложения не подверглись риску распространения.

Данная высокоразвитая атака была направлена на заражение инфраструктуры нижнего уровня RPC (удалённого вызова процедур), используемой LayerZero Labs DVN. В настоящее время все пострадавшие RPC-узлы были отключены и заменены, а DVN LayerZero Labs снова запущен.

Мы делимся этими деталями, чтобы помочь сообществу лучше понять и предотвратить подобные новые государственно поддерживаемые векторы атак.

Фон: Модульная архитектура безопасности LayerZero

Протокол LayerZero построен на модульной, настраиваемой для приложений базе безопасности. Децентрализованные сети верификации (DVNs) — это независимые субъекты, отвечающие за проверку целостности межцепочных сообщений. Важный момент — протокол не навязывает единую конфигурацию безопасности. Напротив, он предоставляет каждому приложению и эмитенту активов возможность определить свою собственную стратегию безопасности, включая выбор DVN, их комбинацию и установление уровней избыточности.

Лучшие отраслевые практики — и явно рекомендуемые LayerZero для всех интеграторов — предполагают настройку с множеством DVN, обладающих разнообразием и избыточностью. Это означает, что любой один DVN не должен становиться односторонним точкой доверия или отказа.

Область и распространение: только rsETH

Мы провели всесторонний аудит интеграции активов на протоколе LayerZero. Можем с уверенностью подтвердить, что риск распространения на любые другие активы или приложения отсутствует. Этот инцидент полностью обусловлен конфигурацией с одним DVN в KelpDAO и изолирован только от их rsETH.

Пострадавшее приложение — это rsETH, выпущенный KelpDAO. На момент инцидента его конфигурация OApp полагалась на «один-единственный» DVN, использующий только LayerZero Labs в качестве единственного валидатора — что прямо противоречит рекомендациям LayerZero по многообразию и избыточности DVN. Конфигурация с единой точкой отказа означает отсутствие независимых валидаторов, способных обнаружить и отклонить поддельные сообщения. Ранее LayerZero и другие внешние организации передавали KelpDAO лучшие практики по диверсификации DVN, однако, несмотря на эти рекомендации, KelpDAO выбрал конфигурацию 1/1 DVN.

При использовании разумных мер усиления атака требовала бы достижения консенсуса между несколькими независимыми DVN, и даже при взломе одного из них атака была бы неэффективной.

Ход событий

18 апреля 2026 года DVN LayerZero Labs стал целью высокоразвитой атаки. Злоумышленники путем подделки или «отравления» инфраструктуры нижнего уровня RPC взломали RPC, на который опирается проверка транзакций DVN. Это не было реализовано через уязвимость протокола, сам DVN или управление ключами.

Вместо этого злоумышленники получили список RPC, используемых нашим DVN, взломали два независимых узла и заменили бинарные файлы, на которых работает узел op-geth. Благодаря принципу «минимальных привилегий» они не смогли взломать саму инстанцию DVN. Однако, используя это как трамплин, они осуществили RPC-атаки с подделкой:

• Вредоносный узел использовал пользовательский нагрузочный код для подделки сообщений DVN.

• Этот узел лгал DVN, но сообщал реальную информацию для любых других IP-адресов (включая наши сканирующие сервисы и внутренние системы мониторинга). Такой тщательно продуманный дизайн предотвращал обнаружение аномалий системами безопасности.

• После завершения атаки вредоносный узел самоуничтожался, отключал RPC и удалял вредоносные бинарные файлы и связанные с ними логи.

Кроме того, злоумышленники провели DDoS-атаку на не взломанные RPC, вызвав переключение системы (failover) на уже отравленные RPC-узлы. В результате экземпляр DVN LayerZero Labs зафиксировал транзакции, которых на самом деле не было.

Безопасность LayerZero Labs

Мы используем полноценные системы обнаружения и реагирования (EDR), строгий контроль доступа, полностью изолированные среды и ведем полное логирование всей системы. Наши DVN работают как на собственных, так и на внешних RPC-узлах. В настоящее время мы находимся на финальной стадии аудита SOC2.

Путь вперед

1. Восстановление DVN: DVN LayerZero Labs восстановлен. Приложения, использующие много DVN, могут безопасно возобновить работу.

2. Обязательный переход: Мы связываемся со всеми приложениями, использующими конфигурацию 1/1 DVN, и требуем миграции на многообразную избыточную настройку. DVN LayerZero Labs больше не будет подписывать или подтверждать сообщения для приложений с конфигурацией 1/1.

3. Сотрудничество с правоохранительными органами: Мы сотрудничаем с несколькими правоохранительными органами по всему миру и поддерживаем отраслевых партнеров и Seal911 в отслеживании средств.

Итог

Нам нужно ясно понять: сама архитектура протокола LayerZero в ходе этого инцидента полностью функционировала согласно ожиданиям. Уязвимостей протокола не обнаружено. Если бы это был единый системный или общий для всех систем механизм безопасности, риск распространения мог бы затронуть все приложения. Модульная безопасность — уникальная характеристика архитектуры LayerZero, и именно она сыграла свою роль в данном случае — инцидент был полностью изолирован внутри одного приложения, без риска распространения внутри системы.

Мы продолжим работать над безопасностью и целостностью экосистемы LayerZero.