LayerZero responde ao evento de 2,92 mil milhões da Kelp DAO: indica que a Kelp configurou uma DVN 1-of-1 personalizada, e que o hacker é o Lazarus da Coreia do Norte

A LayerZero, protocolo de mensagens cross-chain, fez um anúncio formal em um longo post na conta oficial do X, no dia 20 de abril, ao meio-dia (hora local de Taiwan), respondendo ao incidente de 2,92 mil milhões de dólares da Kelp DAO, que sofreu um ataque dois dias antes. Segundo a reportagem da CoinDesk, a LayerZero atribuiu explicitamente a causa do incidente à “escolha independente de usar uma configuração de DVN 1-of-1 com um validador único” por parte da Kelp DAO e, pela primeira vez, associou o ataque ao destacamento TraderTraitor do grupo norte-coreano Lazarus — o mesmo grupo de hackers que também era considerado responsável pelo incidente de 2,85 mil milhões de dólares do Drift Protocol, em 1 de abril.

O que é o 1-of-1 DVN

O LayerZero v2 utiliza uma arquitetura de DVN (Decentralized Verifier Network). Durante a implementação do projeto, é possível escolher livremente “quantos nós de validadores independentes” compõem o consenso, variando de 1-of-1 (um único nó) a M-of-N (necessita de acordo da maioria). A quantidade de DVNs determina os limites de tolerância a falhas: 1-of-1 significa que, caso apenas aquele único nó seja comprometido, as mensagens cross-chain podem ser forjadas; M-of-N, por sua vez, exige comprometer mais do que metade dos nós para forjar.

Na declaração, a LayerZero afirmou: “KelpDAO optou por uma configuração DVN 1-of-1. Uma arquitetura multivalidador bem configurada exigirá consenso entre múltiplos DVNs independentes; mesmo que qualquer validador único seja invadido, o ataque continuará a ser ineficaz.” A lista oficial de verificação de integração e a comunicação direta com a Kelp também já tinham sugerido a adoção de um desenho redundante com múltiplos validadores.

Técnica do ataque: o binário do nó RPC foi substituído, e houve uma fraude seletiva

A LayerZero revelou detalhes técnicos do ataque. Os atacantes comprometeram dois nós RPC (Remote Procedure Call) usados pelo verificador da LayerZero para ler e escrever dados na cadeia — os validadores da LayerZero usam nós RPC internos e externos de forma combinada para aumentar a redundância. Os hackers substituíram o software binário nativo executado nesses dois nós por uma versão maliciosa modificada.

O desenho do binário malicioso é extremamente astuto: apenas reporta à LayerZero dos seus validadores uma mensagem falsa de que “já ocorreu uma transação cross-chain forjada”, mas para todos os outros sistemas que consultam o mesmo nó (incluindo os próprios sistemas de monitorização da LayerZero ao consultarem com IPs diferentes) continua a devolver os dados corretos. Essa “mentira seletiva” faz com que o ataque fique quase totalmente invisível na camada de monitorização da LayerZero.

Lazarus em 18 dias retirou 575 milhões de dólares do DeFi

A LayerZero atribuiu o ataque ao destacamento TraderTraitor sob o grupo norte-coreano Lazarus, marcando-o como “atribuição preliminar com alta confiança”. O mesmo destacamento anteriormente era considerado executor do incidente de 1 de abril do Drift Protocol de 285 milhões de dólares — dois incidentes com 18 dias de diferença, somando mais de 575 milhões de dólares retirados do mercado DeFi.

As estruturas do caminho dos dois ataques foram completamente diferentes: o Drift foi realizado por um ataque de engenharia social contra os signatários de governaça (ao personificar uma identidade norte-coreana para induzir detentores de multisig a assinarem uma transação maliciosa); o Kelp, por sua vez, foi feito ao enganar o protocolo através da infeção da camada de infraestrutura (nós RPC). Isso indica que as capacidades de ataque ao DeFi do Lazarus já ultrapassaram a fronteira tradicional de “vulnerabilidades de contrato inteligente”, expandindo-se em duas direções paralelas: “atacar pessoas” e “atacar infraestruturas”.

As três declarações de política da LayerZero

Na declaração, a LayerZero propôs três posições claras. Primeiro, o incidente decorre da escolha de configuração da Kelp e não de uma vulnerabilidade ao nível do protocolo; segundo, após uma verificação completa, foi confirmado que todas as outras aplicações no protocolo não têm riscos associados (as aplicações que usam o padrão OFT + múltiplos validadores não foram afetadas); terceiro, a partir de agora a LayerZero deixará de assinar mensagens para qualquer aplicação que use uma configuração de validador 1-of-1, exigindo que todos os integradores atualizem para uma arquitetura de múltiplos validadores.

Este é o primeiro caso em que a LayerZero estabeleceu um “limiar mínimo de segurança” ao nível do protocolo — no passado, o multivalidador era apenas “recomendado”; agora passa a ser requisito obrigatório. Esta medida é tanto uma forma de separar responsabilidades pelo incidente da Kelp como um sinal de atualização coletiva de segurança para todo o ecossistema DeFi. Para a pequena parte de projetos que ainda não mudou para uma configuração com múltiplos validadores, pode haver risco de remoção ainda durante esta semana.

Ainda há controvérsia sobre a atribuição de responsabilidade

A LayerZero direcionou claramente a responsabilidade para a escolha de configuração da Kelp, mas as opiniões da comunidade externa não são unânimes. Alguns observadores do DeFi apontaram: se o protocolo já oferece por padrão suporte a uma configuração extremamente frágil como 1-of-1 e, ao mesmo tempo, carece de um limite mínimo obrigatório de DVN, não é possível atribuir toda a responsabilidade ao utilizador do lado do cliente. Também existe um padrão semelhante, visível no evento RAVE mais cedo esta semana — a fronteira de responsabilidade entre provedores de infraestrutura (bolsas/protocolos) e a camada de aplicação (projetos de emissão de tokens/equipas) tornou-se uma disputa estrutural no ecossistema DeFi em 2026.

Quanto aos riscos de liquidação para os utilizadores da Kelp DAO afetados e para protocolos de empréstimo como Aave, SparkLend, Fluid, a LayerZero não ofereceu qualquer solução de compensação; a Kelp DAO oficial também ainda não divulgou detalhes sobre pagamentos. O foco de observação da próxima semana será: o cronograma de entrada em vigor da política de múltiplos validadores forçada pela LayerZero, o número de projetos ainda a utilizar 1-of-1, e se a Kelp conseguirá compensar parcialmente as perdas dos utilizadores a partir de reservas internas ou com assistência da LayerZero.

Este artigo: A LayerZero responde ao incidente de 2,92 mil milhões de dólares da Kelp DAO — refere-se à escolha da Kelp por uma configuração DVN 1-of-1, e ao facto de o hacker ser pela primeira vez associado ao Lazarus norte-coreano, em Notícias da Cadeia ABMedia.