أفادت BroadChain، في 24 أبريل الساعة 04:16، أن جسر rsETH التابع لـ Kelp DAO والمبني على LayerZero قد تم اختراقه في الساعات الأولى من 19 أبريل، حيث تم سحب 116,500 rsETH (حوالي 292 مليون دولار أمريكي) من الشبكة الرئيسية دون وجود سجلات حرق مقابلة. تجاوز المهاجم منطق التحقق من lzReceive، وقام بتزوير رسائل عبر السلاسل لتفعيل إطلاق الاحتياطي مباشرة. في غضون ساعة، أوقفت Kelp العقود، لكن إذا نجحت هجمات إضافية لاحقة، لكان إجمالي الخسائر قد بلغ 391 مليون دولار أمريكي.
يكمن جذر هذا الهجوم في اعتماد Kelp على أضعف تكوين أمان لـ LayerZero وهو 1/1 DVN، أي أن توقيع مدقق واحد فقط يكفي للموافقة. أشار Shalev Keren، المؤسس المشارك لشركة الأمن التشفيري Sodot، إلى أن هذا يمثل "نقطة فشل واحدة" لا يمكن إصلاحها من خلال التدقيق. في وقت مبكر من يناير 2025، كان هناك فريق قد نبه في منتدى حوكمة Aave إلى ضرورة التوسع إلى التحقق متعدد DVN، لكن لم يتم التنفيذ بعد 15 شهرًا. صرحت LayerZero لاحقًا أنها حثت على الترقية عدة مرات، وأعلنت وقف الموافقة على الرسائل للتطبيقات ذات المدقق الواحد.
قام المهاجم بإيداع rsETH المسروقة في منصات الإقراض مثل Aave وCompound، وأقرض أكثر من 236 مليون دولار أمريكي من الأصول الحقيقية. بعد تجميد سوق Aave، اندلعت موجة سحب تجاوزت 100 مليار دولار أمريكي، مما أدى إلى تفعيل استجابات طارئة في 9 بروتوكولات على الأقل مثل Fluid وUpshift وLido Earn. قامت SparkLend بإزالة rsETH من القائمة في وقت مبكر من يناير 2026، مما يسلط الضوء على التباين في إدراك المخاطر لأصول فئة LRT داخل الصناعة.
أرجعت LayerZero الهجوم إلى مجموعة Lazarus الكورية الشمالية، لكن Cyvers لم تتابع هذا الاستنتاج، بسبب صعوبة جمع الأدلة الناتجة عن المسح التلقائي للآثار بواسطة برامج العقد الخبيثة. تشير الحادثتان (قبل ثلاثة أسابيع، خسارة Drift Protocol 285 مليون دولار أمريكي) إلى أن إطار الأمان الحالي لـ DeFi لم يعد قادرًا على مواجهة التهديدات الحالية. تحتاج الصناعة إلى ترقية منهجية في تصميم البروتوكولات، وإدارة مخاطر الضمانات، والأمن التشغيلي، وتبادل المعلومات الاستخباراتية.