Kelp DAO spune că o configurație LayerZero „implicită" cu un singur validator a contribuit la realizarea unui hack de $290m pe podul rsETH, forțând un joc al vinei haotic și o migrare de securitate grăbită.

Kelp DAO a respins explicația oficială a LayerZero privind exploatarea podului de $290 milioane, argumentând că configurația „un singur validator" care a permis unui atacator să plece cu 116.500 rsETH nu a fost o personalizare imprudentă, ci o configurație implicită în propriile ghiduri LayerZero.

Protocolul de re-staking al lichidității a declarat pentru CoinDesk că Rețeaua de Verificatori Descentralizați (DVN) 1-din-1 utilizată pe ruta sa cross-chain rsETH „a urmat configurațiile implicite documentate de LayerZero" și că stiva de validatori compromisă de atacator „face parte din propria infrastructură LayerZero", nu o terță parte neverificată.

Atacul, care a avut loc pe 18 aprilie, a generat sau a eliberat 116.500 rsETH către o adresă controlată de atacator — aproximativ 18% din oferta tokenului — și s-a tradus în pierderi de aproximativ $290–$293 milioane la acel moment, făcându-l cea mai mare exploatare DeFi din 2026 până acum.

Jocul vinei cu un singur validator după exploatarea rsETH

În raportul său de investigație și declarațiile ulterioare, LayerZero a insistat că „protocolul LayerZero nu a fost compromis", argumentând în schimb că Kelp DAO „a implementat un DVN cu un singur punct de eșec în producție" pentru un token cu mai mult de $1 miliard în valoare totală blocată.

Firma de interoperabilitate a declarat că „operarea unei configurații cu un singur punct de eșec a însemnat că nu exista niciun verificator independent pentru a detecta și respinge un mesaj falsificat" și a susținut că anterior comunicase „cele mai bune practici în jurul diversificării DVN" către Kelp DAO și alți parteneri.

Cercetătorii în securitate și auditorii, inclusiv cofondatorul SlowMist, Yu Xian, au confirmat că ruta podului rsETH a folosit un DVN 1/1 — efectiv o singură semnătură — mai degrabă decât o configurație 2/2 sau multi-DVN, numindu-l o vulnerabilitate „punct unic cu semnătură unică" care ar fi putut fi ajutată de inginerie socială.

O analiză detaliată post-mortem de la site-ul de urmărire DeFi, DeFiPrime, notează că modelul OApp al LayerZero permite aplicațiilor să aleagă câte DVN-uri trebuie să semneze un mesaj, cu configurații 2-din-3 sau 3-din-5 recomandate în mod obișnuit pentru implementări de valoare mare, dar spune că adaptorul Kelp „a fost configurat să accepte atestarea unui singur verificator" operat de LayerZero Labs.

Acel design a însemnat că „o semnătură falsificată a fost suficientă pentru a face orice mesaj cross-chain să pară real", permițând atacatorului să alimenteze podul cu o instrucțiune falsă care imita un mesaj valid de pe alt lanț și a declanșat eliberarea a 116.500 rsETH „din aer" către portofelul lor.

Echipa Kelp DAO contraatacă spunând că au implementat propriul cod public și configurațiile implicite ale LayerZero pe mai multe rețele și că DVN-ul exploatat „a fost operat de LayerZero însuși", implicând că responsabilitatea revine cel puțin parțial furnizorului de infrastructură, nu doar aplicației.

LayerZero a luat acum pasul neobișnuit de a promite că „va opri semnarea mesajelor pentru orice aplicații care utilizează o configurație cu un singur validator" și forțează o „migrare de securitate" care va cere tuturor OApps să treacă la arhitecturi multi-DVN dacă doresc să continue să folosească protocolul.

Consecințele merg mult dincolo de un singur token de re-staking.

Așa cum crypto.news a raportat într-o poveste anterioară despre exploatarea rsETH și atribuirea atacului de către LayerZero către Grupul Lazarus din Coreea de Nord, incidentul a reaprins o dezbatere mai largă asupra designului podurilor, configurațiilor implicite și cine poartă în cele din urmă responsabilitatea atunci când infrastructura cross-chain modulară dă greș.

Poveștile conexe crypto.news pe care le puteți lega în copie includ acoperirea exploatării Kelp DAO–LayerZero și atribuirea Lazarus, analiza hack-urilor anterioare ale podurilor cross-chain și raportarea despre modul în care protocoalele de re-staking și liquid-staking concentrează riscul contractelor inteligente pe mai multe lanțuri.