BroadChain tarafından öğrenildiğine göre, 24 Nisan saat 15:06'da, 18 Nisan 2026'da bir saldırgan, 46 dakika içinde KelpDAO köprüsünden 116.500 rsETH çaldı. Bu, yaklaşık 292 milyon dolar değerinde olup, yılın en büyük DeFi güvenlik olayı haline geldi. Çalınan token'lar, Aave V3 gibi protokollere teminat olarak yatırıldı ve yaklaşık 236 milyon dolar ETH borç alındı. Bu durum, Aave'de 177 ila 200 milyon dolar arasında kötü borç oluşmasına ve TVL'nin yaklaşık 6 milyar dolar buharlaşmasına neden oldu. Bu makale, hukuki sorumluluğu medeni hukuk açısından analiz ederek, KelpDAO ve LayerZero Labs'ın ortak kusur sorumluluğu taşıması gerektiğini ve oranın yaklaşık %60 ve %40 olduğunu düşünmektedir.
KelpDAO, LayerZero tarafından önerilen DVN yapılandırmaları arasında en düşük olan 1-of-1'i, yani yalnızca bir doğrulayıcıya güvenmeyi seçti. Oysa LayerZero en az 2-of-3'ü açıkça önermişti. Bu tür bir tek nokta arızası, yaklaşık 1,6 milyar dolar değerindeki varlığı koruyordu; bu, bir kasayı asma kilit ile korumaya benziyor. Haksız fiil hukukuna göre, önleme maliyeti (B), zarar olasılığı (P) ile zarar büyüklüğünün (L) çarpımından çok daha düşük olduğu için bu ihmal teşkil eder. Sektördeki benzer kuruluşlar olan SparkLend ve Fluid, rsETH için LTV'yi sırasıyla %72 ve %75 olarak belirlerken, Aave'nin %93'ünden çok daha düşüktür; bu da köprü riskine karşı duyarlılığı göstermektedir.
LayerZero tarafından işletilen DVN altyapısı, bir RPC zehirleme saldırısına maruz kaldı. Saldırgan, ikili dosyaları değiştirerek, seçici aldatma ve DDoS yedekleme mekanizmasını kullanarak doğrulamayı taklit etti. RPC zehirleme, bilinen bir saldırı vektörüdür. LayerZero, altyapı işletmecisi olarak çapraz doğrulama, anomali tespiti gibi önlemleri uygulamalıydı. Devredilemez yükümlülük ilkesi, RPC sağlayıcısına güvenerek sorumluluktan kaçınamayacağını belirtir. Drift Protocol saldırısı (285 milyon dolar, 1 Nisan) yapıcı bir bildirim sağlayarak ihmal tespitini daha da desteklemektedir.
Ortak nedensellik altında, KelpDAO'nun yapılandırması ve LayerZero'nun başarısızlığı, her ikisi de gerekli koşullardır. Kusur dağılımı üç noktaya dayanır: KelpDAO aktif olarak en düşük yapılandırmayı seçti, LayerZero bilinen tehditlere karşı savunma yapmadı ve saldırganın eylemi nedensellik zincirini kesintiye uğratmadı. Protokol hizmet şartlarındaki sorumluluk sınırlama maddeleri, kamu politikasına aykırı oldukları için uygulanamaz olabilir.