Odaily Planet Daily rapporte que LayerZero Labs a publié un message sur la plateforme X indiquant que, le 18 avril, KelpDAO a été attaqué, entraînant une perte d'environ 290 millions de dollars. L'attaque serait initialement attribuée au groupe Lazarus. L'attaque a été menée en contaminant l'infrastructure RPC en aval sur laquelle repose le réseau de validation décentralisée (DVN) de KelpDAO ; les attaquants ont pris le contrôle de certains nœuds RPC et ont combiné cette compromission à une attaque DDoS pour forcer le système à basculer vers des nœuds malveillants, permettant ainsi la falsification de transactions cross-chain. Les nœuds RPC affectés ont été mis hors ligne et remplacés, et le DVN a été rétabli.
LayerZero souligne que cet incident est limité à la configuration de l'application rsETH de KelpDAO et n'a pas affecté d'autres actifs ou applications. KelpDAO, ayant adopté une architecture à un seul DVN sans mécanisme de redondance multi-DVN, n'a pas pu identifier les messages falsifiés. Le protocole LayerZero lui-même n'a pas été vulnérable, et les applications configurées avec plusieurs DVN n'ont pas été touchées. LayerZero encouragera tous les projets utilisant une configuration à un seul DVN à migrer vers une architecture multi-DVN, a suspendu les services de signature et de vérification pour les applications en configuration 1/1, et collabore actuellement avec les autorités judiciaires pour suivre les fonds volés.