A Kelp DAO acusou funcionários da LayerZero de aprovarem a configuração de verificador 1-de-1, apontada como a causa de um ataque de US$ 292 milhões na sua ponte rsETH. O protocolo planeja migrar do padrão OFT da LayerZero para o CCIP da Chainlink. O hack foi vinculado ao grupo Lazarus, da Coreia do Norte.
A Kelp DAO divulgou um memorando intitulado “Esclarecendo os fatos sobre o hack da ponte LayerZero”, alegando que a LayerZero revisou suas configurações por mais de 2,5 anos em oito discussões de integração, sem alertar sobre os riscos de segurança da configuração de verificador 1-de-1. Uma captura de tela do Telegram mostra um membro da equipe da LayerZero afirmando: “Não há problema em usar os padrões também — apenas marcando [redigido] aqui, já que ele mencionou que você talvez quisesse usar uma configuração DVN personalizada para verificar mensagens, mas deixarei isso para sua equipe!” A Kelp argumenta que esses padrões eram a configuração DVN 1-de-1 da LayerZero Labs, que permitiu o exploit que drenou 116.500 rsETH, avaliados em cerca de US$ 292 milhões. Duas transações forjadas adicionais superiores a US$ 100 milhões foram processadas antes que a Kelp pausasse seus contratos, segundo o protocolo. A Kelp alega que teve que alertar a LayerZero sobre o exploit, questionando o monitoramento da empresa. Dados da CoinGecko citando a Dune Analytics indicam que 47% dos contratos OApp ativos da LayerZero usavam uma configuração 1-de-1 semelhante, expondo mais de US$ 4,5 bilhões em valor. O relatório post-mortem da LayerZero de 19 de abril atribuiu a culpa à dependência da Kelp da LayerZero Labs como única verificadora, chamando isso de contradição aos modelos multi-DVN recomendados. Desde então, a LayerZero proibiu configurações 1-de-1 e afirmou que seu protocolo funcionou conforme o esperado. Um porta-voz da LayerZero respondeu: “A alegação de que a Kelp usou configurações padrão da LayerZero é imprecisa. Eles implantaram o multiDVN e depois fizeram o downgrade manual para um 1/1.” O porta-voz acrescentou que as exclusões de programas de recompensa por bugs (bug bounty) cobrem escolhas em nível de aplicativo, como redes de verificadores. Em resposta, a Kelp está migrando o rsETH para o Protocolo de Interoperabilidade entre Cadeias (CCIP) da Chainlink. A LayerZero não fez mais comentários até a publicação. Conforme reportado primeiramente pelo CoinDesk em 5 de maio de 2026.
