Odaily Planet Daily relata que a LayerZero Labs publicou em X que, em 18 de abril, o KelpDAO sofreu um ataque que resultou em perdas de aproximadamente US$ 290 milhões, com a suspeita inicial de que o atacante seja o Lazarus Group. O ataque foi realizado por meio da contaminação da infraestrutura RPC de baixo nível na qual a rede de verificação descentralizada (DVN) do KelpDAO depende; os atacantes controlaram alguns nós RPC e, em conjunto com um ataque DDoS, induziram o sistema a alternar para nós maliciosos, falsificando assim transações intercadeias. Atualmente, todos os nós RPC afetados foram desativados e substituídos, e a DVN já recuperou sua operação.
A LayerZero enfatiza que este evento foi limitado à configuração da aplicação rsETH da KelpDAO e não afetou outros ativos ou aplicações. A KelpDAO, por adotar uma arquitetura de único DVN e não utilizar mecanismos de redundância multi-DVN, não conseguiu identificar mensagens falsificadas. O protocolo LayerZero em si não apresentou vulnerabilidades, e as aplicações configuradas com multi-DVN não foram afetadas. A LayerZero impulsionará a migração de todos os projetos com configuração de único DVN para arquiteturas multi-DVN, já suspendeu os serviços de assinatura e verificação para aplicações com configuração 1/1 e está auxiliando as autoridades judiciais no rastreamento dos fundos roubados.