اتهمت منصة "كيلب داو" (Kelp DAO) موظفي شركة "لايرزيرو" (LayerZero) بالموافقة على إعدادات التحقق الفردي (1-of-1) التي اعتُبرت مسؤولة عن استغلال ثغرة أدت إلى خسارة 292 مليون دولار في جسر العملات الرقمية الخاص بها "rsETH". وتعتزم المنصة الانتقال من معيار "OFT" الخاص بـ "لايرزيرو" إلى بروتوكول "CCIP" التابع لـ "تشين لينك" (Chainlink). وقد رُبط الاختراق بمجموعة "لازاروس" التابعة لكوريا الشمالية.
أصدرت "كيلب داو" مذكرة بعنوان "توضيح الحقائق حول اختراق جسر لايرزيرو"، ادعت فيها أن "لايرزيرو" راجعت إعدادات البروتوكول لأكثر من عامين ونصف خلال ثماني مناقشات تكامل دون التحذير من المخاطر الأمنية في إعدادات التحقق الفردي. وتُظهر لقطة شاشة من تطبيق "تليجرام" أحد أعضاء فريق "لايرزيرو" يقول: "لا توجد مشكلة في استخدام الإعدادات الافتراضية أيضاً - سأقوم بالإشارة إلى [تم حجب الاسم] هنا لأنه ذكر أنكم قد ترغبون في استخدام إعدادات DVN مخصصة للتحقق من الرسائل، لكنني سأترك الأمر لفريقكم!". وتجادل "كيلب" بأن هذه الإعدادات الافتراضية كانت تكوين DVN الفردي الخاص بـ "لايرزيرو لابز" والذي مكن من حدوث الاختراق، مما أدى إلى استنزاف 116,500 من عملات "rsETH" بقيمة تقريبية تبلغ 292 مليون دولار. ووفقاً للبروتوكول، تمت معالجة معاملتين إضافيتين مزورتين تجاوزت قيمتهما 100 مليون دولار قبل أن توقف "كيلب" عقودها. وتزعم "كيلب" أنها اضطرت إلى إبلاغ "لايرزيرو" بالاختراق، متسائلة عن فعالية أنظمة المراقبة في الشركة. وتشير بيانات من "كوين جيكو" نقلاً عن "ديون أناليتيكس" إلى أن 47% من عقود "لايرزيرو" النشطة استخدمت إعدادات فردية مشابهة، مما عرض أكثر من 4.5 مليار دولار من القيمة للخطر. من جهتها، ألقت "لايرزيرو" في تقريرها التحليلي الصادر في 19 أبريل باللوم على اعتماد "كيلب" على "لايرزيرو لابز" كجهة تحقق وحيدة، واصفة ذلك بأنه يناقض نماذج التحقق المتعددة الموصى بها. ومنذ ذلك الحين، حظرت "لايرزيرو" الإعدادات الفردية وذكرت أن بروتوكولها عمل كما هو مخطط له. ورد متحدث باسم "لايرزيرو" قائلاً: "الادعاء بأن كيلب استخدمت الإعدادات الافتراضية لـ لايرزيرو غير دقيق. لقد قاموا بنشر نظام التحقق المتعدد ثم خفضوا مستواه يدوياً إلى نظام فردي". وأضاف المتحدث أن استثناءات مكافآت الأخطاء تغطي الخيارات المتعلقة بمستوى التطبيق مثل شبكات التحقق. واستجابة لذلك، تقوم "كيلب" بنقل "rsETH" إلى بروتوكول التشغيل البيني عبر السلاسل الخاص بـ "تشين لينك". ولم تقدم "لايرزيرو" مزيداً من التعليقات عند النشر، كما ورد لأول مرة في "كوين ديسك" في 5 مايو 2026.
