LayerZero merilis laporan post-mortem bersama dengan Mandiant dan CrowdStrike yang merinci eksploitasi jembatan rsETH pada 18 April yang menguras 116.500 rsETH, senilai sekitar $292 juta. Menurut laporan tersebut, pelaku ancaman yang terkait dengan Korea Utara, TraderTraitor, juga dikenal sebagai UNC4899, membahayakan infrastruktur LayerZero setelah menargetkan seorang pengembang pada bulan Maret. Serangan tersebut kemudian memanipulasi node RPC dan menyebabkan kegagalan sistem verifikasi yang menyetujui transaksi lintas rantai palsu.
Menurut LayerZero, pelanggaran keamanan dimulai pada tanggal 6 Maret setelah seorang penyerang melakukan rekayasa sosial terhadap seorang pengembang LayerZero Labs. Penyerang tersebut berhasil mendapatkan kunci sesi sebelum memasuki lingkungan cloud RPC LayerZero.
Dari situ, penyerang mengubah memori internal node RPC dengan perangkat lunak berbahaya. Sistem yang dimodifikasi tersebut mengembalikan respons yang sah ke alat pemantauan.
Namun, node yang sama mengirimkan respons yang dimanipulasi ke Jaringan Verifikasi Terdesentralisasi LayerZero Labs, yang juga dikenal sebagai DVN. Node RPC memproses permintaan status blockchain di seluruh jaringan.
Untuk memperluas serangan, pelaku ancaman melancarkan serangan Denial of Service (DoS) terhadap penyedia RPC eksternal. Akibatnya, layanan penandatanganan LayerZero Labs bergantung pada dua node internal yang telah disusupi.
Menurut Mandiant, CrowdStrike, dan para peneliti independen, pesan palsu tersebut kemudian menerima pengesahan yang sah. Akibatnya, jembatan rsETH KelpDAO melepaskan aset tersebut.