Message de BlockBeats, le 20 avril : LayerZero Labs a publié une déclaration sur l'incident d'attaque indiquant que le 18 avril, KelpDAO a subi une attaque entraînant une perte d'environ 290 millions de dollars. L'attaque a initialement été attribuée au groupe Lazarus, d'origine nord-coréenne (plus précisément à TraderTraitor). L'attaque a été menée en compromettant l'infrastructure RPC en aval sur laquelle repose le réseau de vérification décentralisé (DVN) de KelpDAO ; les attaquants ont pris le contrôle de certains nœuds RPC et ont combiné cette compromission à une attaque DDoS pour forcer le système à basculer vers des nœuds malveillants, permettant ainsi la falsification de transactions interchaînes. Les nœuds RPC affectés ont été mis hors ligne et remplacés, et le DVN a désormais été rétabli.
LayerZero souligne que cet incident est limité à la configuration de l'application rsETH de KelpDAO et n'a pas affecté d'autres actifs ou applications. La raison en est que KelpDAO utilisait à l'époque une architecture DVN unique (1/1), sans recourir au mécanisme de redondance multi-DVN recommandé à long terme par l'officiel, ce qui a entraîné l'absence de nœuds de validation indépendants capables d'identifier les messages falsifiés. LayerZero précise que son protocole lui-même n'a pas été vulnérable, et les applications configurées avec plusieurs DVN n'ont pas été touchées ; le système ne présente aucun risque de contamination.
LayerZero indique qu'elle encouragera tous les projets utilisant une configuration DVN unique à migrer vers une architecture multi-DVN dans les plus brefs délais et a suspendu les services de signature et de vérification pour les configurations 1/1. Par ailleurs, l'entreprise collabore avec les autorités judiciaires mondiales pour mener une enquête et aider les partenaires du secteur à suivre les fonds volés. LayerZero souligne que cet incident met en lumière la valeur d'une architecture de sécurité modulaire, tout en rappelant au secteur les risques potentiels liés à la chaîne de vérification RPC.