Un atac cibernetic devastator, soldat cu pierderi de 292 de milioane de dolari, aruncă în aer industria criptomonedelor. În centrul scandalului se află o dispută aprinsă între Kelp DAO și LayerZero, cu acuzații grave de neglijență și dovezi care scot la iveală un conflict deschis.
Acuzații grave și dovezi din culise
Mărul discordiei este un sistem de verificare de tip „1-of-1”, adică bazat pe un singur verificator. Într-un memorandum recent, Kelp DAO susține că specialiștii LayerZero au revizuit configurațiile lor timp de peste 2,5 ani și în opt discuții de integrare, fără să avertizeze vreodată că această setare prezenta un risc major de securitate. Mai mult, Kelp a publicat capturi de ecran din discuții pe Telegram care arată clar lipsa obiecțiilor.
Un membru al echipei LayerZero a afirmat negru pe alb: „Nicio problemă în utilizarea setărilor implicite, doar îl etichetez pe [redactat] aici, deoarece a menționat că ați fi vrut să folosiți o configurație DVN personalizată pentru verificarea mesajelor, dar vom lăsa asta la latitudinea echipei voastre!”.
Numai că, potrivit Kelp, aceste „setări implicite” reprezentau chiar configurația 1-of-1 pe care LayerZero a indicat-o ulterior drept vulnerabilitatea care a permis jaful.
Vulnerabilitatea, ignorată în mod repetat
Modul de operare al hackerilor, cel mai probabil asociați cu grupul Lazarus din Coreea de Nord, a fost unul sofisticat. Atacatorii au compromis două noduri din rețeaua LayerZero, au schimbat fișierele care rulau pe ele și apoi au lansat un atac DDoS asupra nodurilor necompromise. Astfel, au forțat o trecere la cele infectate, moment în care rețeaua a confirmat tranzacții care, în realitate, nu avuseseră loc niciodată.
Cifrele sunt uriașe.
Exploit-ul a golit podul rsETH al Kelp de 116.500 rsETH, o sumă evaluată la aproximativ 292 milioane de dolari. Iar atacatorii au mai procesat două tranzacții false de peste 100 de milioane de dolari înainte ca protocolul Kelp să fie pus pe pauză. Situația devine și mai gravă când aflăm că avertismentele nu au lipsit. Cercetătorul de securitate Sujith Somraaj, un fost auditor al LayerZero, a dezvăluit că a trimis un raport descriind exact același model de atac, dar a fost respins. „Recompensa mea pentru erori: nu este o vulnerabilitate, necesită toate DVN-urile. Implementarea lor: elimină partea cu «toate». Hackerii: încasează în schimb o recompensă de 295 de milioane de dolari”, a scris Somraaj pe platforma X.
Un risc sistemic de 4,5 miliarde de dolari
V-ați gândit vreodată cât de răspândită poate fi o eroare de arhitectură software în această industrie? Potrivit unei investigații a Financiarul, datele Dune Analytics arată că 47% din cele aproximativ 2.665 de contracte active LayerZero rulau o configurație DVN 1-of-1. Asta înseamnă că o valoare de piață de peste 4,5 miliarde de dolari a fost expusă exact la aceeași clasă de risc.
Dar cum se apără LayerZero? Compania a susținut că protocolul „a funcționat exact așa cum a fost intenționat” și a dat vina pe Kelp pentru că s-a bazat pe ei ca unic verificator. Cum vine asta, să oferi un șablon tehnic de bază (unde documentația oficială arăta LayerZero Labs ca DVN necesar, fără alte opțiuni) și apoi să arunci vina pe clientul care îl folosește?
Întrebări fără răspuns și măsuri drastice
Un alt aspect critic este că echipa Kelp a trebuit să semnaleze jaful către LayerZero, și nu invers. Acest detaliu ridică semne de întrebare serioase cu privire la capacitățile reale de monitorizare ale platformei. Memorandumul Kelp menționează și o suprapunere a adreselor care aveau rol de administrator atât pe LayerZero Labs DVN, cât și pe Nethermind DVN, listând zece astfel de adrese la data de 8 aprilie 2026 și alte cinci la 6 februarie 2025.
Drept răspuns la acest incident major, echipa Kelp a luat deja măsuri drastice. Au decis să migreze rsETH de pe standardul LayerZero către protocolul CCIP dezvoltat de Chainlink.
Și totuși, în ciuda schimbării de politică a LayerZero, care a interzis semnarea mesajelor pentru aplicațiile cu configurări 1-of-1 după atac, ecosistemul rămâne expus. Conform documentației tehnice actuale, pe cel puțin două lanțuri integrate, Dinari și Skale, LayerZero Labs DVN figurează în continuare ca singurul atestator disponibil.
