KelpDAO Bridge-attacken och LayerZero Labs incidentrapport
LayerZero Labs har publicerat en detaljerad redogörelse för KelpDAO-exploateringen och bekräftar att angripare tog ungefär 116 500 rsETH, värd cirka $292 miljoner, genom att kompromissa nedströmsinfraskrukturen kopplad till verifieringsskiktet som användes i KelpDAOs cross-chain-konfiguration.
Företaget uppgav att incidenten var begränsad till KelpDAOs rsETH-installation eftersom applikationen förlitade sig på en 1-of-1 DVN-konfiguration med LayerZero Labs som den enda verifieraren, en design som LayerZero sa direkt motsade dess rekommendation att applikationer använder diversifierade multi-DVN-inställningar med redundans. I sitt uttalande sa LayerZero att det fanns ”noll spridning till några andra cross-chain-tillgångar eller applikationer” och hävdade att protokollets modulära säkerhetarkitektur begränsade skadans omfattning även när en enda applikationsnivå-konfiguration misslyckades.
Attackens mekanik och genomförande
Enligt LayerZeros rapport riktade sig attacken den 18 april 2026 mot RPC-infrastrukturen som LayerZero Labs DVN förlitade sig på, snarare än att exploatera LayerZero-protokollet, nyckelhantering eller DVN-programvaran själv.
Företaget uppgav att angripare fick åtkomst till listan över RPC:er som användes av DVN, kompromissade två noder som kördes på separata kluster, ersatte binärer på op-geth-noder och använde sedan skadliga nyttolaster för att mata förfalskad transaktionsdata till verifieraren medan de returnerade korrekt data till andra slutpunkter, inklusive interna övervakningsstjänster.
För att genomföra exploateringen lanserade angriparna också DDoS-attacker på okompromissade RPC-slutpunkter, vilket utlöste redundans mot de förgiftade noderna och tillät LayerZero Labs DVN att bekräfta transaktioner som aldrig faktiskt hade inträffat.
Extern analys och attribueringsbild
Extern forensisk analys stämmer i stort sett överens med denna beskrivning. Chainalysis sa att angripare kopplade till Nordkoreas Lazarus Group, specifikt TraderTraitor, inte exploaterade en smart contract-bugg utan istället förfalskade ett cross-chain-meddelande genom att förgifta interna RPC-noder och överväldiga externa i en single-point-of-failure-verifieringsinställning.
Nexus Mutual sa att det förfalskade meddelandet dränerade $292 miljoner från KelpDAOs bridge på under 46 minuter, vilket gör det till en av 2026:s största DeFi-förluster.
LayerZeros åtgärder och policyförändringar
LayerZero sa att det omedelbara svaret inkluderade att förkasta och ersätta alla påverkade RPC-noder, återställa LayerZero Labs DVN till drift och kontakta brottsbekämpande myndigheter samtidigt som man arbetade med branschpartner och Seal911 för att spåra de stulna medlen.
Viktigare är att företaget ändrar hur det hanterar riskfyllda konfigurationer. LayerZero sa att dess DVN ”inte kommer att signera eller attestera meddelanden från några applikationer som använder en 1/1-konfiguration”, en direkt policyförändring som syftar till att förhindra en upprepning av KelpDAO-incidenten.
Företaget kontaktar också projekt som fortfarande använder 1/1-konfigurationer för att migrera dem till multi-DVN-modeller med redundans, vilket effektivt erkänner att konfigurationsflexibilitet utan tvingade säkerhetsbegränsningar var alltför tillåtande i praktiken.
Lärdomar från incidenten
De smarta kontrakten kan förbli intakta och protokollet kan fortfarande misslyckas i praktiken om det off-chain-förtroendelskiktet är svagt.
Resultatet är en välbekant men kostsam läxa för cross-chain-infrastruktur. LayerZero försöker nu bevisa att rätt slutsats från en $292 miljoner bridge-stöld inte är att modulär säkerhet misslyckades, utan att tillåta vem som helst att köra en single-signer-inställning var det verkliga misstaget.
