KelpDAO dan LayerZero Labs terlibat perselisihan setelah dilaporkan terjadi eksploitasi senilai $300 juta yang terkait dengan infrastruktur LayerZero pada 18 April 2026. KelpDAO mengatakan penyerang memicu transaksi curang di seluruh protokol DeFi menggunakan sistem DVN LayerZero yang telah disusupi. Insiden tersebut juga mencakup pemblokiran transaksi senilai $100 juta setelah KelpDAO menghentikan sementara kontrak selama periode kejadian tersebut.
Menurut KelpDAO dan para peneliti independen, serangan tersebut menargetkan infrastruktur LayerZero Labs. Yang perlu diperhatikan, para penyerang mengakses sistem offchain yang terkait dengan node RPC yang digunakan oleh lapisan verifikasi DVN.
Chainalysis melaporkan bahwa penyerang menggunakan data yang dimanipulasi, bukan kelemahan kontrak pintar. Proses ini mengelabui sistem DVN 1 dari 1 sehingga menyetujui transaksi yang tidak valid.
Namun, KelpDAO mengatakan telah menghentikan kerugian lebih lanjut dengan menangguhkan kontrak tak lama setelah terdeteksi. Tim tersebut juga memblokir dua transaksi palsu tambahan dengan total lebih dari $100 juta.
Sementara itu, para peneliti mengaitkan kerugian sekitar 116.500 rsETH dengan aktivitas eksploitasi tersebut. Protokol pinjaman hilir kemudian menyerap aset yang dijadikan jaminan dari dana yang dicuri.
KelpDAO membantah klaim LayerZero bahwa konfigurasi merekalah yang menyebabkan kegagalan tersebut. Menurut KelpDAO, pengaturan DVN 1-1 banyak digunakan di seluruh integrasi LayerZero.
Tim tersebut mengutip data publik yang menunjukkan ribuan kontrak OApp menggunakan struktur verifikasi serupa. Mereka juga mengatakan sekitar 90 persen pesan LayerZero bergantung pada satu atau dua DVN.
Selain itu, KelpDAO menyatakan bahwa dokumentasi LayerZero mengarahkan pengembang ke konfigurasi default. Ini termasuk pengaturan yang menggunakan LayerZero Labs sebagai DVN yang dibutuhkan tanpa redundansi opsional.
Namun, dalam laporan postmortemnya, LayerZero mengaitkan insiden tersebut dengan pilihan konfigurasi KelpDAO. Perusahaan itu juga menggambarkan serangan tersebut sebagai pelanggaran infrastruktur yang ditargetkan yang melibatkan kompromi RPC.