LayerZero відповідає на подію на 292 млн Kelp DAO: вказано, що Kelp налаштував 1 із 1 (1-of-1) DVN у власному виборі, а хакер — північнокорейська група Lazarus

Кросланцюговий протокольний меседжинг LayerZero за часом Тайваню 20 квітня опівдні через офіційний довгий пост у X опублікував офіційну заяву, щоб відреагувати на кібератаку на Kelp DAO на суму 2,92 млрд доларів, яка сталася двома днями раніше. Згідно з повідомленням CoinDesk, LayerZero чітко віднесла причину події до того, що Kelp DAO «самостійно обрала використання конфігурації з 1-of-1 DVN, тобто одного валідатора», а також уперше пов’язала напад із підрозділом TraderTraitor, що входить до групи Lazarus з Північної Кореї — тієї ж групи хакерів, яких раніше вважали виконавцями інциденту на суму 2,85 млрд доларів Drift Protocol, щосятався 1 квітня.

Що таке 1-of-1 DVN

LayerZero v2 використовує архітектуру DVN (Decentralized Verifier Network). Під час розгортання проєкту він може на власний розсуд обирати, «скільки незалежних вузлів-валидаторів» формують консенсус, у діапазоні від 1-of-1 (один вузол) до M-of-N (потрібна більшість узгоджень). Кількість DVN визначає межі відмовостійкості: 1-of-1 означає, що достатньо, щоб той єдиний вузол було скомпрометовано, щоб кросланцюгові повідомлення можна було підробити; M-of-N означає, що треба зламати понад половину вузлів, щоб підробити.

У заяві LayerZero зазначила: «KelpDAO обрала конфігурацію 1-of-1 DVN. Правильно налаштована багатовалідаційна (multi-validator) архітектура вимагатиме досягнення консенсусу між кількома незалежними DVN, і навіть якщо будь-який окремий валідатор буде скомпрометований, напад усе одно буде неефективним». Офіційний інтеграційний чеклист і прямі комунікації з Kelp також раніше радили застосовувати конфігурацію з багатовалідаційною (redundant) надмірністю.

Тактика атаки: заміна бінарного файлу RPC та вибіркове введення в оману

LayerZero розкрила технічні деталі атаки. Зловмисники скомпрометували два RPC (Remote Procedure Call) вузли, які використовувалися валідаторами LayerZero для читання та запису даних у ланцюжку — валідатори LayerZero використовують сукупно внутрішні та зовнішні RPC-вузли для підвищення надмірності. Хакери замінили нативні бінарні програми, що виконувалися на цих двох вузлах, на модифіковані шкідливі версії.

Шкідлива бінарна програма була спроєктована надзвичайно хитро: вона лише виглядала як повідомлення «підроблені кросланцюгові транзакції вже відбулися» для валідаторів LayerZero, але для всіх інших запитів до тієї ж системи, включно з усіма системами, що запитують цей вузол (включно із власними системами моніторингу LayerZero, які звертаються з різних IP), продовжувала повертати правильні дані. Така «вибіркова брехня» робила атаку майже повністю невидимою на рівні моніторингу LayerZero.

Lazarus за 18 днів вивела 575 млн доларів з DeFi

LayerZero віднесла атаку до підрозділу TraderTraitor, що входить до Lazarus Group з Північної Кореї, і позначила її як «попередню високодостовірну атрибуцію». Той самий підрозділ раніше вважали виконавцем інциденту на суму 2,85 млрд доларів Drift Protocol, щосятався 1 квітня — дві події рознесені на 18 днів, а загалом із ринку DeFi було виведено понад 575 млн доларів.

Шляхи двох атак мали абсолютно різну структуру: Drift була здійснена через соціотехнічну атаку на підписантів управління (North Korea маскувала свою особу, щоб спонукати держателів мультисигнатур підписати зловмисну транзакцію); Kelp натомість зробила це, інфікуючи рівень інфраструктури (RPC-вузли) і вводячи в оману протокол верифікації. Це означає, що можливості Lazarus в атаках на DeFi вже вийшли за традиційну межу «вразливостей смартконтрактів» і розширюються у двох паралельних напрямках: «атакувати людей» та «атакувати інфраструктуру».

Три політичні заяви від LayerZero

У своїй заяві LayerZero виклала три чіткі позиції. Перше: інцидент стався через вибір конфігурації Kelp, а не через вразливість на рівні протоколу; друге: після всебічної перевірки підтверджено, що всі інші застосування на протокольному рівні не несуть пов’язаних ризиків (застосування, що використовують стандарт OFT + багатовалідаційну архітектуру, не були порушені); третє: відтепер LayerZero більше не підписуватиме повідомлення для будь-яких застосувань, що використовують конфігурацію з 1-of-1 валідаторами, змушуючи всіх інтеграторів перейти на архітектуру з багатьма валідаторами.

Це перший випадок, коли LayerZero на рівні протоколу встановлює «мінімальний поріг безпеки» — раніше багатовалідаційність була лише «рекомендацією», тепер вона стає обов’язковою вимогою. Цей крок одночасно є відокремленням відповідальності за інцидент із Kelp і сигналом колективного підвищення безпеки для всього DeFi-екосистеми. Для небагатьох проєктів, які досі не перейшли на конфігурацію з багатьма валідаторами, імовірно існує ризик видалення (зняття з використання) протягом цього тижня.

Питання відповідальності досі викликає суперечки

LayerZero чітко переклала відповідальність на вибір конфігурації Kelp, але думки зовнішньої спільноти не є одностайними. Частина спостерігачів DeFi вказала: якщо протокол за замовчуванням підтримує таку надзвичайно вразливу конфігурацію, як 1-of-1, і водночас не має обов’язкового мінімального порогу DVN, то не можна перекладати всю відповідальність на користувачів-клієнтів. Також є схожий патерн, який можна було побачити в RAVE-інциденті, що стався трохи раніше цього тижня, — межі відповідальності між провайдерами інфраструктури (біржі/протоколи) та рівнем застосувань (проєкти зі випуску токенів/інші проєкти) у DeFi-екосистемі 2026 року стали структурною суперечкою.

Щодо ризиків ліквідації для постраждалих користувачів Kelp DAO та позикових протоколів на кшталт Aave, SparkLend, Fluid, LayerZero не запропонувала жодного компенсаційного плану; офіційний Kelp DAO також досі не опублікував деталі виплат. Наступним фокусом спостережень протягом найближчого тижня буде: строки набрання чинності примусовою політикою LayerZero щодо багатьох валідаторів, кількість проєктів, які все ще використовують 1-of-1, та чи зможе Kelp компенсувати частину збитків користувачам із внутрішніх резервів або за допомогою LayerZero.

Ця стаття LayerZero відповідає на інцидент Kelp DAO на 2,92 млрд: вказує, що Kelp сама обрала конфігурацію 1-of-1 DVN, а хакер уперше з’явився від північнокорейської Lazarus, опубліковано в 鏈新聞 ABMedia.