رسالة من BlockBeats، في 20 أبريل، أصدرت LayerZero Labs بيانًا حول حادثة الهجوم، ذكرت فيه أنه في 18 أبريل، تعرضت KelpDAO لهجوم خسرت فيه حوالي 290 مليون دولار أمريكي، وتم التقييم الأولي أن الجناة هم مجموعة Lazarus ذات الخلفية الكورية الشمالية (وتحديدًا TraderTraitor). تم تنفيذ الهجوم من خلال تسميم البنية التحتية RPC التالية التي تعتمد عليها شبكة التحقق اللامركزية (DVN)، حيث سيطر المهاجمون على بعض عقد RPC ودمجوها مع هجوم DDoS لدفع النظام إلى التبديل إلى عقد ضارة، وبالتالي تزوير معاملات عبر السلسلة. تم إيقاف جميع عقد RPC المتأثرة واستبدالها، وقد استؤنفت عملية DVN الآن.
تؤكد LayerZero أن هذا الحدث كان مقتصرًا على تكوين تطبيق rsETH الخاص بـ KelpDAO ولم يؤثر على أي أصول أو تطبيقات أخرى. السبب هو أن KelpDAO استخدمت في ذلك الوقت بنية DVN واحدة (1/1)، ولم تتبع آلية التكرار المتعددة DVN التي توصي بها LayerZero على المدى الطويل، مما أدى إلى غياب عقد مصادقة مستقلة للكشف عن الرسائل المزيفة. وتوضح LayerZero أن بروتوكولها نفسه لم يُستغل، وأن التطبيقات التي تستخدم تكوينات متعددة DVN لم تتأثر، ولا توجد أي مخاطر عدوى في النظام.
أفادت LayerZero أنها ستُدفع جميع المشاريع التي تستخدم تكوين DVN واحد للانتقال إلى بنية DVN متعددة في أسرع وقت ممكن، وقد أوقفت تقديم خدمات التوقيع والتحقق للتطبيقات ذات التكوين 1/1. وفي الوقت نفسه، تعمل الشركة بالتعاون مع وكالات إنفاذ القانون العالمية على التحقيق ومساعدة شركاء الصناعة في تتبع الأموال المسروقة. وأوضحت LayerZero أن هذا الحدث يبرز قيمة البنية الأمنية المعيارية، كما يُذكّر الصناعة بالمخاطر الأمنية المحتملة المرتبطة بسلسلة التحقق RPC.