Kelp DAO a accusé le personnel de LayerZero d'avoir approuvé la configuration de vérificateur « 1 parmi 1 » (1-of-1), mise en cause dans une faille de 292 millions de dollars sur son pont rsETH. Le protocole prévoit de migrer de la norme OFT de LayerZero vers le CCIP de Chainlink. Le piratage a été attribué au groupe Lazarus, lié à la Corée du Nord.
Kelp DAO a publié une note intitulée « Rétablir la vérité sur le piratage du pont LayerZero », affirmant que LayerZero a examiné ses configurations pendant plus de deux ans et demi lors de huit discussions d'intégration sans jamais avertir des risques de sécurité liés à la configuration de vérificateur « 1 parmi 1 ». Une capture d'écran provenant de Telegram montre un membre de l'équipe de LayerZero déclarant : « Aucun problème à utiliser les valeurs par défaut non plus — je mentionne [masqué] ici car il a indiqué que vous auriez peut-être voulu utiliser une configuration DVN personnalisée pour vérifier les messages, mais je laisserai cela à votre équipe ! » Kelp soutient que ces valeurs par défaut étaient la configuration DVN « 1 parmi 1 » de LayerZero Labs qui a permis l'exploitation, entraînant le vol de 116 500 rsETH d'une valeur d'environ 292 millions de dollars. Deux transactions falsifiées supplémentaires dépassant 100 millions de dollars ont été traitées avant que Kelp ne suspende ses contrats, selon le protocole. Kelp prétend avoir dû signaler l'exploitation à LayerZero, remettant en question la surveillance de l'entreprise. Les données de CoinGecko citant Dune Analytics indiquent que 47 % des contrats OApp actifs de LayerZero utilisaient une configuration « 1 parmi 1 » similaire, exposant plus de 4,5 milliards de dollars. Le post-mortem de LayerZero du 19 avril a blâmé la dépendance de Kelp envers LayerZero Labs en tant que seul vérificateur, qualifiant cela de contradiction avec les modèles multi-DVN recommandés. LayerZero a depuis interdit les configurations « 1 parmi 1 » et a déclaré que son protocole avait fonctionné comme prévu. Un porte-parole de LayerZero a répondu : « L'affirmation selon laquelle Kelp a utilisé les configurations par défaut de LayerZero est inexacte. Ils ont déployé multiDVN puis sont redescendus manuellement à une configuration 1/1. » Le porte-parole a ajouté que les exclusions des programmes de primes aux bugs couvrent les choix au niveau de l'application, comme les réseaux de vérification. En réponse, Kelp migre rsETH vers le protocole d'interopérabilité inter-chaînes (CCIP) de Chainlink. LayerZero n'a pas fait d'autres commentaires à l'heure de la publication, comme l'a rapporté pour la première fois CoinDesk le 5 mai 2026.
