Kelp DAO zegt dat een LayerZero "standaard" single-validator configuratie een $290 miljoen rsETH bridge hack mogelijk heeft gemaakt, wat leidde tot een rommelig beschuldigingsspel en een gehaaste beveiligingsmigratie.

Kelp DAO heeft zich verzet tegen LayerZero's officiële verklaring van een $290 miljoen bridge exploit, met het argument dat de "single-validator" configuratie die een aanvaller 116.500 rsETH liet stelen geen roekeloze aanpassing was, maar een standaardconfiguratie in LayerZero's eigen richtlijnen.

Het liquidity re-staking protocol vertelde CoinDesk dat het 1-van-1 Decentralized Verifier Network (DVN) dat werd gebruikt op zijn rsETH cross-chain route "LayerZero's gedocumenteerde standaarden volgde" en dat de validator stack die door de aanvaller werd gecompromitteerd "deel uitmaakt van LayerZero's eigen infrastructuur," in plaats van een niet-geverifieerde derde partij.

De aanval, die plaatsvond op 18 april, muntte of gaf 116.500 rsETH vrij aan een door de aanvaller gecontroleerd adres — ongeveer 18% van het token-aanbod — en vertaalde zich in verliezen van ongeveer $290–$293 miljoen op dat moment, waardoor het de grootste DeFi-exploit van 2026 tot nu toe is.

Single-validator beschuldigingsspel na rsETH exploit

In zijn onderzoeksrapport en vervolgverklaringen heeft LayerZero volgehouden dat "LayerZero's protocol niet kapot was," en in plaats daarvan betoogd dat Kelp DAO "een single-point-of-failure DVN in productie heeft ingezet" voor een token met meer dan $1 miljard aan totale vergrendelde waarde.

Het interoperabiliteitsbedrijf zei dat "het gebruik van een single-point-of-failure configuratie betekende dat er geen onafhankelijke verifier was om een vervalst bericht te vangen en af te wijzen" en beweerde dat het eerder "best practices rond DVN-diversificatie" had gecommuniceerd aan Kelp DAO en andere partners.

Beveiligingsonderzoekers en auditors, waaronder SlowMist medeoprichter Yu Xian, hebben bevestigd dat de rsETH bridge route een 1/1 DVN gebruikte — in feite een enkele handtekening — in plaats van een 2/2 of multi-DVN stack, en noemden het een "single-signature single point" kwetsbaarheid die mogelijk werd ondersteund door social engineering.

Een gedetailleerde post-mortem van DeFi tracking site DeFiPrime merkt op dat LayerZero's OApp model applicaties laat kiezen hoeveel DVN's een bericht moeten goedkeuren, waarbij 2-van-3 of 3-van-5 configuraties gewoonlijk worden aanbevolen voor high-value implementaties, maar zegt dat Kelp's adapter "was geconfigureerd om de attestatie van een enkele verifier te accepteren" die werd beheerd door LayerZero Labs.

Dat ontwerp betekende dat "één vervalste handtekening genoeg was om elk cross-chain bericht echt te laten lijken," waardoor de aanvaller de bridge een valse instructie kon geven die een geldig bericht van een andere chain nabootste en de vrijgave van 116.500 rsETH "uit het niets" naar hun wallet triggerde.

Het team van Kelp DAO pareert dat zij LayerZero's eigen publieke code en standaarden over meerdere netwerken hebben geïmplementeerd en dat de geëxploiteerde DVN "werd beheerd door LayerZero zelf," wat impliceert dat de verantwoordelijkheid ten minste gedeeltelijk bij de infrastructuurprovider ligt in plaats van uitsluitend bij de applicatie.

LayerZero heeft nu de ongebruikelijke stap genomen om te beloven dat het "zal stoppen met het ondertekenen van berichten voor alle applicaties die een single-validator configuratie gebruiken" en forceert een "beveiligingsmigratie" die alle OApps zal vereisen om over te stappen naar multi-DVN architecturen als ze het protocol willen blijven gebruiken.

De gevolgen gaan veel verder dan één re-staking token.

Zoals crypto.news eerder rapporteerde in een artikel over de rsETH exploit en LayerZero's toewijzing van de aanval aan Noord-Korea's Lazarus Group, heeft het incident een breder debat aangewakkerd over bridge-ontwerp, standaardconfiguraties en wie uiteindelijk verantwoordelijk is wanneer modulaire cross-chain infrastructuur fout gaat.

Gerelateerde crypto.news verhalen die je in de tekst kunt linken, omvatten berichtgeving over de Kelp DAO–LayerZero exploit en Lazarus-toewijzing, analyse van eerdere cross-chain bridge hacks, en rapportage over hoe re-staking en liquid-staking protocols smart-contract risico concentreren over meerdere chains.