A empresa de mensagens cross-chain LayerZero (ZRO) atribuiu o exploit de US$ 292 milhões da Kelp DAO ao Grupo Lazarus da Coreia do Norte, apontando para uma configuração com um único verificador.
Detalhes do exploit da Kelp DAO
A empresa publicou um relatório pós-mortem em 20 de abril sobre a drenagem, em 18 de abril, de 116.500 rsETH (RSETH) da bridge da Kelp, de acordo com comunicado divulgado pela Binance News.
A LayerZero afirmou que os atacantes, ligados ao subgrupo do Lazarus conhecido como TraderTraitor, envenenaram a infraestrutura de RPC downstream. Eles tomaram o controle de alguns nós e, em seguida, usaram tráfego de DDoS para redirecionar o sistema para endpoints maliciosos e forjar transações cross-chain.
A empresa ressaltou que a violação foi limitada ao aplicativo de rsETH da Kelp, que operava com uma única rede de verificador descentralizado, ou DVN, em vez da configuração recomendada com múltiplas DVNs. Os nós de RPC afetados foram substituídos e a DVN já voltou a funcionar.
Leia também: Bitcoin a US$ 74.900 — este é o piso antes da próxima alta ou apenas um degrau antes de uma queda?
Consequências do ataque do Lazarus
O investigador on-chain ZachXBT foi o primeiro a apontar a violação, observando que as carteiras dos invasores foram pré-financiadas por meio do Tornado Cash. O CEO da Cyvers, Deddy Lavid, afirmou que o ataque evidencia os riscos da composabilidade no DeFi.
A LayerZero agora está acelerando a migração de aplicativos com uma única DVN para configurações com múltiplas DVNs e suspendeu a assinatura para configurações 1-de-1.
O incidente é o maior hack DeFi de 2026 até agora. Ele ocorre após a drenagem, em 1º de abril, de cerca de US$ 285 milhões do Drift Protocol baseado em Solana, também ligado a atores associados à Coreia do Norte, fazendo parte de um período de duas semanas em que mais de US$ 600 milhões saíram do DeFi em mais de dez protocolos.
Leia a seguir: A memecoin que disparou para a órbita — o mistério dos 600% da Asteroid Shiba explicado