LayerZero отвечает на событие на 292 млн у Kelp DAO: речь о том, что Kelp использовала собственную конфигурацию 1-of-1 DVN, а хакер — северокорейская группировка Lazarus

Кроссчейн-протокол сообщений LayerZero по пекинскому времени 20 апреля в полдень опубликовал через официальный X развернутое заявление с официальным ответом на хакерский инцидент на 292 млн долларов США, связанный с Kelp DAO, произошедший двумя днями ранее. Согласно сообщению CoinDesk, LayerZero однозначно возложил причину инцидента на то, что Kelp DAO «самостоятельно выбрал конфигурацию 1-of-1 DVN с одним валидатором», и впервые отнес атаку к подразделению TraderTraitor, входящему в состав северокорейской группы Lazarus — тем же самым хакерским коллективом ранее также, как считалось, были исполнены атака 1 апреля на Drift Protocol на 285 млн долларов США.

Что такое 1-of-1 DVN

LayerZero v2 использует архитектуру DVN (Decentralized Verifier Network). При развертывании проекта можно самостоятельно выбрать, сколько «независимых узлов-валидаторов» составят консенсус: от 1-of-1 (один узел) до M-of-N (требуется большинство согласия). Количество DVN определяет границу отказоустойчивости: 1-of-1 означает, что достаточно взломать только один узел, чтобы кроссчейн-сообщение можно было подделать; M-of-N же требует взлома более половины узлов, чтобы подделать.

В заявлении LayerZero указал: «KelpDAO выбрала конфигурацию 1-of-1 DVN. Правильно настроенная мультивалидаторная архитектура потребует достижения консенсуса между несколькими независимыми DVN: даже если будет взломан любой один валидатор, атака окажется неэффективной». Официальный контрольный список интеграции и прямые коммуникации с Kelp также ранее рекомендовали использовать избыточную конструкцию с несколькими валидаторами.

Метод атаки: подмена двоичного ПО RPC-узлов, выборочный обман

LayerZero раскрыл технические детали атаки. Атакующий взломал два RPC (Remote Procedure Call) узла, которые использовались валидаторами LayerZero для чтения и записи данных в блокчейне — валидаторы LayerZero используют внутренние и внешние RPC-узлы в комплексе, чтобы увеличить избыточность. Злоумышленник заменил нативное двоичное ПО, выполнявшееся на этих двух узлах, на модифицированную вредоносную версию.

Конструкция вредоносного двоичного ПО была крайне хитрой: она лишь лгала валидатору LayerZero, сообщая об «уже произошедшей поддельной кроссчейн-транзакции», но для всех остальных запросов к той же самой системе-узлу (включая собственные мониторинговые системы LayerZero при запросе с разных IP) продолжала возвращать корректные данные. Такой «выборочный обман» заставлял атаку почти полностью исчезать на уровне мониторинга LayerZero.

Lazarus за 18 дней вывел из DeFi 575 млн долларов

LayerZero приписал атаку подразделению TraderTraitor, находящемуся в составе северокорейского Lazarus Group, и пометил это как «предварительную высокодостоверную атрибуцию». Ранее то же подразделение считалось исполнителем инцидента на 285 млн долларов США 1 апреля в Drift Protocol — две атаки с разницей в 18 дней суммарно вытащили из рынка DeFi более 575 млн долларов США.

Маршруты двух атак полностью различались: Drift была реализована через атаки социальной инженерии против подписантов governance (North Korea под видом идентичности побуждала держателей мультиподписи подписать вредоносную транзакцию); Kelp же осуществлялась через заражение инфраструктурного уровня (RPC-узлы), чтобы обмануть протокол верификации. Это означает, что атакующие возможности Lazarus в DeFi уже вышли за рамки традиционной границы «уязвимостей смарт-контрактов» и расширяются по двум параллельным направлениям: «атака людей» и «атака инфраструктуры».

Три пункта политики LayerZero

В своем заявлении LayerZero обозначил три четкие позиции. Во-первых, инцидент произошел из-за конфигурационного выбора Kelp, а не из-за уязвимости на уровне протокола; во-вторых, после всесторонней проверки подтверждено, что все остальные приложения в протоколе не несут сопутствующих рисков (все приложения на стандарте OFT с несколькими валидаторами не пострадали); в-третьих, начиная с сегодняшнего дня LayerZero больше не будет подписывать сообщения для любых приложений, использующих конфигурацию 1-of-1 валидаторов, и заставит всех интеграторов перейти на архитектуру с несколькими валидаторами.

Это первый случай, когда LayerZero на уровне протокола установил «минимальный порог безопасности» — ранее мультивалидаторы были лишь «рекомендацией», а теперь это стало обязательным требованием. Этот шаг одновременно отделяет ответственность за инцидент Kelp и подает сигнал о коллективном повышении безопасности для всей DeFi-экосистемы. Для небольшого числа проектов, которые все еще не перешли на конфигурацию с несколькими валидаторами, существует риск снятия с обслуживания в течение этой недели.

Споры по вопросу распределения ответственности сохраняются

LayerZero однозначно возложил ответственность на конфигурационный выбор Kelp, но мнения внешнего сообщества не совпадают. Некоторые наблюдатели DeFi отмечали: раз протокол по умолчанию поддерживает столь уязвимую конфигурацию, как 1-of-1, и при этом не имеет обязательного минимального порога DVN, то нельзя всю ответственность перекладывать на пользователей. Также в аналогичном шаблоне, заметном в событии RAVE на этой неделе ранее, проявляется разделение границ ответственности между провайдерами инфраструктуры (биржи/протоколы) и уровнем приложения (проекты по выпуску токенов/проекты): в DeFi-экосистеме 2026 года это стало структурным спором.

Что касается рисков ликвидации для затронутых пользователей Kelp DAO и кредитных протоколов вроде Aave, SparkLend, Fluid, LayerZero не предложил方案а компенсации; официальный Kelp DAO также пока не сообщил деталей выплат. Следующий фокус наблюдения на предстоящую неделю будет таким: сроки вступления в силу принудительной политики LayerZero с несколькими валидаторами, количество проектов, которые все еще используют 1-of-1, и сможет ли Kelp частично компенсировать потери пользователей за счет внутренних резервов или при содействии LayerZero.

Эта статья LayerZero отвечает на инцидент Kelp DAO на 292 млн долларов: имеется в виду, что Kelp выбрала конфигурацию 1-of-1 DVN, а хакер впервые появился в 鏈新聞 ABMedia.