LayerZero заявила, что за взломом Kelp DAO, случившимся 18 апреля, вероятнее всего стоит северокорейская группировка Lazarus (подгруппа TraderTraitor). Из пула rsETH вывели около $292 млн — это крупнейшая DeFi-кража 2026 года. По данным DefiLlama, общая блокировка средств в DeFi за сутки просела на 7% — до $85–86 млрд.
Атрибуция не окончательная: в LayerZero говорят о высокой вероятности, а не о подтверждении. Компания сотрудничает с правоохранителями для отслеживания средств.
По расследованию, злоумышленники «отравили» RPC‑инфраструктуру, питающую сеть децентрализованных верификаторов (DVN), затем запустили DDoS, чтобы перевести систему на скомпрометированные резервные узлы. Перенастроенный верификатор подтвердил фиктивные кроссчейн‑транзакции, и средства ушли до обнаружения. Kelp DAO в соцсетях сообщила, что приостановила контракты rsETH на мейннете и нескольких L2 и ведёт расследование с LayerZero, Unichain, аудиторами и экспертами.
Ключевая причина — конфигурация 1‑из‑1 DVN (один узел‑проверяющий), несмотря на многократные рекомендации LayerZero перейти на многоузловую схему.
«Атака оказалась гораздо сложнее, чем я ожидал, и была нацелена на инфраструктуру LayerZero, воспользовавшись леностью KelpDAO», — написал в соцсетях технический директор Ripple Дэвид Шварц.
LayerZero отключила затронутые RPC‑узлы и восстановила работу DVN; код протокола и приватные ключи не пострадали — сбой носил архитектурный характер.
Lazarus связывают с крупнейшими криптокражами, включая $625 млн из сети Ronin в 2022 году; по оценкам Минфина США и ООН, миллиарды шли на программы вооружений КНДР. Кроссчейн‑протоколы остаются «лакомой целью», а отравление RPC против сетей верификаторов — новая и уже описанная тактика. Рынок ждёт от Kelp DAO план компенсаций и шагов по отказу от одноузловых DVN у других протоколов.