Breșa Kelp DAO de 290 milioane $ legată de Grupul Lazarus și securitatea slabă a bridge-ului

Concluzii cheie

• Aproximativ 290–293 milioane de dolari au fost furate de la Kelp DAO în urma unui atac sofisticat asupra nodurilor RPC conectate la sistemul de verificare LayerZero
• Kelp DAO ar fi ignorat recomandările de securitate LayerZero de a implementa mai mulți verificatori, operând cu doar un singur verificator
• Dovezile preliminare indică grupul Lazarus din Coreea de Nord ca fiind autorii din spatele acestei breșe de securitate
• Nouă platforme DeFi, în special Aave, au suferit daune în cascadă, valoarea totală blocată a Aave scăzând cu 6 miliarde de dolari
• În viitor, LayerZero a declarat că va refuza să accepte aplicații care operează cu configurații cu un singur verificator

În ceea ce reprezintă una dintre cele mai semnificative breșe de securitate din finanțele descentralizate din 2026, Kelp DAO a suferit pierderi totalizând aproximativ 290–293 milioane de dolari în urma unui atac de weekend. LayerZero, protocolul de mesagerie inter-lanț utilizat în incident, a atribuit vulnerabilitatea deciziilor de infrastructură ale Kelp.

Breșa s-a concentrat pe mecanismul de transfer al token-ului rsETH al Kelp între diferite rețele blockchain. Operarea cu o arhitectură cu un singur verificator însemna că doar o singură autoritate trebuia să valideze transferurile inter-lanț. Conform LayerZero, compania avertizase în mod explicit Kelp cu privire la această configurație și a solicitat adoptarea mai multor surse independente de verificare.

Hackerii au infiltrat două noduri de apel procedură la distanță—servere specializate care permit software-ului să interacționeze cu datele blockchain. Aceste noduri legitime au fost înlocuite cu versiuni compromise care furnizau informații frauduloase sistemului de verificare LayerZero, menținând în același timp aspectul normal față de alte componente ale infrastructurii.

Întrucât procesul de verificare LayerZero consulta și noduri externe legitime, atacatorii au lansat o campanie de refuz distribuit de serviciu pentru a dezactiva acele sisteme. Această tactică a redirecționat traficul de rețea prin infrastructura compromisă într-o fereastră de 80 de minute, de la 10:20 la 11:40, ora Pacificului, sâmbătă.

Când mecanismul de failover s-a activat, nodurile malițioase au transmis confirmarea unei tranzacții legitime către verificator. Protocolul bridge al Kelp a eliberat ulterior 116.500 rsETH către portofelele atacatorilor. Software-ul ostil s-a eliminat apoi pe sine, ștergând toate dovezile forensice de pe serverele afectate.

Impact în cascadă în ecosistemul DeFi

Token-urile rsETH furate au fost folosite ca garanție pe diverse platforme de creditare, permițând atacatorilor să retragă active autentice. Aave, platforma dominantă de creditare descentralizată, a absorbit cele mai substanțiale daune.

Aave s-a trezit deținând garanții rsETH ilichide, în timp ce active valoroase precum ETH fuseseră deja extrase prin mecanisme de împrumut. Token-ul nativ al Aave a scăzut cu aproximativ 15% într-o perioadă de 24 de ore, în timp ce protocolul a înregistrat retrageri de aproximativ 6 miliarde de dolari, pe măsură ce participanții s-au grăbit să își retragă fondurile.

Nu mai puțin de nouă aplicații DeFi au suferit daune, inclusiv Fluid, Compound Finance, SparkLend și Euler. Firma de securitate cibernetică Cyvers a caracterizat incidentul drept un "eveniment de contagiune inter-protocol" care se extinde mult dincolo de vulnerabilitatea unei singure platforme.

Cu încredere preliminară, LayerZero a conectat acest atac cu grupul Lazarus din Coreea de Nord, în special cu divizia sa TraderTraitor. Aceeași organizație a fost implicată în breșa Drift Protocol de 285 milioane de dolari din 1 aprilie, indicând că Lazarus a extras peste 575 milioane de dolari din finanțele descentralizate într-o perioadă de 18 zile, folosind două metodologii distincte de atac.

Ajustări ale protocoalelor de securitate

LayerZero raportează că nu există dovezi ale răspândirii vulnerabilității către aplicațiile care operează cu arhitecturi cu mai mulți verificatori. Compania și-a restabilit serviciul de verificare și a anunțat o politică permanentă de refuz de a procesa mesaje pentru orice aplicație care utilizează configurații cu un singur verificator.

Fondatorul Curve Finance, Michael Egorov, a subliniat că această breșă demonstrează riscurile inerente ale bazării pe surse solitare de verificare a tranzacțiilor. El a avertizat în plus împotriva utilizării infrastructurii inter-lanț, cu excepția cazului în care este esențială din punct de vedere operațional.

Kelp a rămas tăcut cu privire la versiunea evenimentelor LayerZero și nu a abordat motivul pentru care protocolul a continuat să opereze cu o arhitectură cu un singur verificator, în ciuda primirii avertismentelor explicite de securitate.

Postarea $290M Kelp DAO Breach Tied to Lazarus Group and Weak Bridge Security a apărut prima dată pe Blockonomi.