博链 BroadChain को जानकारी मिली है कि 24 अप्रैल को 04:16 बजे, Kelp DAO का rsETH क्रॉस-चेन ब्रिज, जो LayerZero पर आधारित है, 19 अप्रैल की सुबह हमले का शिकार हो गया। 116,500 rsETH (लगभग 292 मिलियन डॉलर) बिना किसी संबंधित बर्न रिकॉर्ड के मुख्य नेटवर्क से बाहर निकल गए। हमलावर ने lzReceive वेरिफिकेशन लॉजिक को बायपास करके फर्जी क्रॉस-चेन संदेश बनाए और सीधे रिजर्व रिलीज को ट्रिगर किया। एक घंटे के भीतर Kelp ने कॉन्ट्रैक्ट को रोक दिया, लेकिन अगर बाद का हमला सफल होता, तो कुल नुकसान 391 मिलियन डॉलर तक पहुंच जाता।
इस हमले का मूल कारण यह है कि Kelp ने LayerZero की सबसे कमजोर सुरक्षा कॉन्फ़िगरेशन का उपयोग किया - 1/1 DVN, यानी एक ही वैलिडेटर के हस्ताक्षर से पास हो सकता है। क्रिप्टोग्राफी सुरक्षा कंपनी Sodot के सह-संस्थापक Shalev Keren ने बताया कि यह "एकल बिंदु विफलता" है, जिसे ऑडिट से ठीक नहीं किया जा सकता। जनवरी 2025 में ही, एक टीम ने Aave गवर्नेंस फोरम में कई DVN वेरिफिकेशन की सिफारिश की थी, लेकिन 15 महीने बाद भी इसे लागू नहीं किया गया। LayerZero ने बाद में कहा कि उसने कई बार अपग्रेड करने का आग्रह किया था, और एकल वैलिडेटर वाले एप्लिकेशन के लिए संदेश मंजूरी देना बंद करने की घोषणा की।
हमलावर ने चुराए गए rsETH को Aave, Compound जैसे लेंडिंग प्लेटफॉर्म पर जमा किया और 236 मिलियन डॉलर से अधिक की वास्तविक संपत्ति उधार ली। Aave द्वारा बाजार फ्रीज करने के बाद 10 बिलियन डॉलर से अधिक की निकासी हुई, और Fluid, Upshift, Lido Earn सहित कम से कम 9 प्रोटोकॉल ने आपातकालीन प्रतिक्रिया शुरू की। SparkLend ने जनवरी 2026 में ही rsETH को हटा दिया था, जो LRT प्रकार की संपत्तियों के जोखिम के प्रति उद्योग में विभाजित धारणा को उजागर करता है।
LayerZero ने हमले का कारण उत्तर कोरिया के Lazarus Group को बताया, लेकिन Cyvers ने इस निष्कर्ष का पालन नहीं किया, क्योंकि दुर्भावनापूर्ण नोड सॉफ्टवेयर ने स्वचालित रूप से निशान मिटा दिए, जिससे फोरेंसिक जांच मुश्किल हो गई। दो घटनाएं (तीन सप्ताह पहले Drift Protocol को 285 मिलियन डॉलर का नुकसान) दर्शाती हैं कि DeFi का मौजूदा सुरक्षा ढांचा वर्तमान खतरों का सामना करने में असमर्थ है। उद्योग को प्रोटोकॉल डिजाइन, कोलैटरल जोखिम प्रबंधन, ऑपरेशनल सुरक्षा और खुफिया साझाकरण के स्तर पर सिस्टम अपग्रेड की आवश्यकता है।