Kelp DAO behauptet, dass das LayerZero-Personal die 1-von-1-Verifier-Konfiguration genehmigt hat, eine Entscheidung, die LayerZero inzwischen als Grund dafür angegeben hat, dass ein mit Nordkorea verbundener Angreifer entzog etwa 292 Millionen US-Dollar von Kelps rsETH-Brücke.
Die Behauptung steht im Widerspruch zu LayerZeros Nachbetrachtung vom 19. April, in dem angegeben wird, dass Kelp's rsETH-Anwendung sich ausschließlich auf LayerZero Labs als Verifizierer stützt und dass dieses Setup dem empfohlenen Multi-DVN-Modell von LayerZero „direkt widerspricht“.
Kelp's Memo besagt, dass das LayerZero-Personal seine Konfigurationen über einen Zeitraum von mehr als 2,5 Jahren und in acht Integrationsgesprächen überprüft hat, ohne darauf hinzuweisen, dass eine 1-von-1-Konfiguration ein erhebliches Sicherheitsrisiko darstellt.
Das Memo mit dem Titel „Richtigstellung zum LayerZero-Bridge-Hack“ enthält Screenshots von Telegram-Nachrichten, die LayerZeros Kenntnis und fehlenden Einspruch gegen die Verifier-Einrichtung von Kelp dokumentieren.
Ein Screenshot zeigt ein Teammitglied von LayerZero, das sagt: „Kein Problem auch bei der Verwendung der Standardeinstellungen – ich markiere hier [redacted], da er erwähnt hat, dass Sie möglicherweise eine benutzerdefinierte DVN-Konfiguration für die Verifizierung von Nachrichten verwenden wollten, aber das überlasse ich Ihrem Team!“ Kelp erklärt, dass sich die in dem Austausch genannten „Standardeinstellungen“ auf die 1-von-1 LayerZero Labs DVN-Konfiguration bezogen, die später von LayerZero als die Anwendungsebene-Konfiguration genannt wurde, die den Exploit ermöglichte.
CoinDesk konnte den Screenshot nicht unabhängig verifizieren.
LayerZero’s Vorlagen
Kelp verweist außerdem auf den Bug-Bounty-Bereich von LayerZero, OFT Quickstart und Entwicklerbeispiele als Beleg dafür, dass LayerZero die Auswahl des Verifier-Netzwerks als Anwendungsebene-Konfiguration behandelt hat, während den Entwicklern eine Ein-DVN-Konfiguration gezeigt wurde.
LayerZero's veröffentlichter Bug-Bounty-Umfang auf Immunefi schließt von Belohnungen „Auswirkungen auf OApps selbst aufgrund ihrer eigenen Fehlkonfiguration“ aus, einschließlich Verifier-Netzwerken und Ausführenden.
Der LayerZero OFT Schnellstart und der offizielle OFT Beispielkonfiguration auf GitHub zeigen LayerZero Labs als die erforderliche DVN, ohne dass eine optionale DVN gesetzt ist.
Kelps Memo verweist auf ein Beitrag vom 19. April von Spearbit-Sicherheitsforscher Sujith Somraaj, in dem Somraaj erklärte, er habe einen Bug-Bounty-Bericht eingereicht, der dasselbe Angriffsmuster beschrieb, und dass LayerZero diesen abgelehnt habe.
"Mein Bug-Bounty-Report: kein Vulnerability, erfordert alle DVNs," schrieb Somraaj auf X. "Ihre Implementierung: entfernt den 'alle'-Teil. Hacker: sammeln stattdessen 295 Mio. $ Prämie ein." Somraaj ist ein früherer LayerZero-Prüfer, laut seinem Cantina-Profil.
Kelp wechselt zu Chainlink
Kelp teilte ebenfalls mit, dass rsETH von LayerZero zu Chainlink verlagert wirdCross-Chain-Interoperabilitätsprotokoll. Die Umstellung verlegt rsETH vom OFT-Standard von LayerZero auf den Cross-Chain-Token-Standard von Chainlink.
Der Exploit entleerte 116.500 rsETH im Wert von etwa 292 Millionen US-Dollar von Kelps LayerZero-gestützter Brücke. Zwei weitere gefälschte Transaktionen mit einem Gesamtvolumen von über 100 Millionen US-Dollar wurden vom LayerZero Labs DVN unterzeichnet und verarbeitet, bevor Kelp seine Verträge pausierte, teilte das Protokoll mit.
LayerZero sagte Angreifer stehen wahrscheinlich in Verbindung mit der Lazarus Group aus Nordkorea, die auf die Liste der von LayerZero Labs DVN verwendeten RPCs zugegriffen, zwei RPC-Knoten kompromittiert und die darauf laufenden Binärdateien ausgetauscht hat.
Die Angreifer starteten anschließend einen DDoS-Angriff auf nicht kompromittierte RPC-Knoten, was einen Failover auf die manipulierten Knoten erzwang. LayerZero gab an, dass das DVN daraufhin Transaktionen bestätigte, die nicht stattgefunden hatten.
Kelp argumentiert, dass das 1-von-1-Setup weit verbreitet war. CoinGecko berichtete unter Berufung auf Daten von Dune Analytics, dass 47 % von etwa 2.665 aktiven LayerZero OApp-Verträgen über einen Zeitraum von 90 Tagen bis etwa zum 22. April eine 1-von-1-DVN-Konfiguration nutzten, wobei ein Marktwert von mehr als 4,5 Milliarden US-Dollar dem gleichen Risikotyp ausgesetzt war.
Die Nachbesprechung von LayerZero stellte fest, dass das Protokoll „genau wie vorgesehen funktionierte“. Das Unternehmen erklärte, dass es keine Nachrichten mehr für Anwendungen signieren werde, die mit einer 1-von-1-Konfiguration laufen, eine Richtlinienänderung, die nach dem Hack in Kraft trat.
Kelp behauptet, dass sein Team den Exploit LayerZero melden musste und nicht umgekehrt, was Fragen zur Überwachung durch LayerZero aufwirft.
Das Memo behauptet außerdem eine erhebliche Überschneidung bei den Adressen, denen die ADMIN_ROLE sowohl im LayerZero Labs DVN als auch im Nethermind DVN zugewiesen wurde, und führt zehn Adressen vom 8. April 2026 sowie fünf weitere vom 6. Februar 2025 auf. CoinDesk hat die On-Chain-Aussage nicht unabhängig überprüft.
LayerZero antwortete auf eine Anfrage zur Stellungnahme durch die Publikation nicht.
Auf mindestens zwei integrierten Chains, Dinari und Skale, ist das LayerZero Labs DVN laut Dokumentation nach wie vor als einziger verfügbarer Attestierer gelistet.
