LayerZero collega hack da 290M$ a configurazione Kelp

Lead

exploit-kelp-dao" title="LayerZero accusa Lazarus per l'exploit a Kelp DAO">LayerZero, il 20 aprile 2026, ha pubblicamente attribuito un exploit da USD 290 milioni a una errata configurazione della struttura dei nodi di Kelp, affermando che gli aggressori hanno compromesso due nodi RPC su cui il verificatore si basava e hanno messo in atto un DDoS sul resto (Coindesk, Apr 20, 2026). Il protocollo ha sostenuto che l'exploit è riuscito perché Kelp ha ignorato le raccomandazioni di LayerZero su una configurazione multi‑verificatore e ha operato con un singolo verificatore, creando un punto di fallimento unico che ha permesso la falsificazione dei messaggi. LayerZero ha inoltre attribuito l'operazione al gruppo Lazarus, collegato alla Corea del Nord, tracciando analogie dirette con un pattern di furti sponsorizzati dallo Stato nella finanza decentralizzata. Le affermazioni e i dettagli tecnici forniti da LayerZero hanno immediatamente posto sotto scrutinio le architetture dei verificatori in bridge e protocolli di messaggistica e hanno riacceso il dibattito sui trade‑off tra custodia e decentralizzazione. Controparti istituzionali e custodi stanno rivalutando i modelli di esposizione, chiarendo come i fallimenti di sicurezza operativa possano propagarsi fino a perdite di saldo di centinaia di milioni di dollari.

Context

La dichiarazione di LayerZero indica che due nodi RPC sono stati compromessi e che gli attaccanti hanno poi messo in atto DDoS contro i rimanenti nodi su cui il verificatore faceva affidamento, permettendo loro di iniettare messaggi malevoli (Coindesk, Apr 20, 2026). Non è la prima volta che difetti nell'infrastruttura off‑chain hanno precipitate grandi furti: la violazione del bridge Ronin nel marzo 2022 è stata valutata intorno a USD 625 milioni ed è stata anch'essa attribuita al gruppo Lazarus (Chainalysis, 2022). Il pattern — compromissione di infrastrutture esterne piuttosto che bug diretti nei smart contract — evidenzia come dipendenze operative quali provider RPC, sistemi di firma e verificatori siano ora superfici d'attacco primarie per colossali rapine.

Kelp, uno strumento popolare per validatori/operatori di nodi, secondo i report non avrebbe implementato la configurazione multi‑verificatore raccomandata da LayerZero, che avrebbe richiesto la compromissione di più entità indipendenti per poter falsificare messaggi. LayerZero aveva esplicitamente consigliato agli utenti di Kelp di eseguire più verificatori per evitare scenari a punto unico di fallimento, secondo la dichiarazione aziendale. La lezione tecnica: i sistemi decentralizzati di messaggistica e bridging devono trattare i componenti off‑chain come livelli critici di sicurezza, non semplici servizi di comodità.

L'attribuzione al gruppo Lazarus eleva l'incidente da un semplice exploit criminale a una questione di sicurezza geopolitica. Se attori supportati da Stati stanno ripetutamente sfruttando vettori operativi simili, il costo della resilienza sistemica aumenta per gli operatori del settore privato, che devono scegliere tra oneri operativi e esposizione. I partecipanti al mercato, inclusi custodi e assicuratori on‑chain, considereranno questo incidente nelle loro valutazioni delle controparti.

Data Deep Dive

La cifra di riferimento — USD 290 milioni — rappresenta fondi drenati a seguito della falsificazione di messaggi che LayerZero sostiene sia stata possibile perché due nodi RPC sono stati compromessi mentre gli altri sono stati resi indisponibili. La divulgazione di LayerZero fornisce dettagli operativi precisi: una combinazione di compromissione di nodi e tattiche di negazione di servizio distribuita, piuttosto che un difetto diretto nel codice del protocollo. Il report di Coindesk del 20 aprile 2026 conferma questi punti e cita il post‑mortem di LayerZero (Coindesk, Apr 20, 2026). La perdita monetaria è sostanziale ma rimane al di sotto del più grande furto registrato su bridge (Ronin, USD 625 milioni, Mar 2022), e sopra exploit di taglia media come l'incidente KuCoin del 2020 (~USD 275 milioni).

Una metrica chiave è il numero di verificatori indipendenti necessario per prevenire questo tipo di falsificazione dei messaggi. Il modello multi‑verificatore raccomandato da LayerZero aumenta il costo per l'attaccante passando dalla compromissione di due nodi RPC alla compromissione di molteplici verificatori, geograficamente e amministrativamente indipendenti. Se, ad esempio, un protocollo utilizza tre verificatori gestiti da entità indipendenti, l'onere per l'attaccante si moltiplica; vi è un aumento esponenziale nella complessità operativa e nei costi per un aggressore rispetto a una configurazione a verificatore singolo. Il confronto osservabile è netto: le configurazioni a verificatore singolo offrono un vantaggio di costo a breve termine agli operatori ma li espongono a un rischio catastrofico di coda.

Anche la telemetria operativa è cruciale. La divulgazione di LayerZero ci permette di quantificare il vettore d'attacco: compromissione iniziale di due nodi RPC seguita da DDoS mirati sul resto. Questa sequenza indica una tattica mista — compromissione persistente più manipolazione della disponibilità — che aumenta significativamente la leva dell'attaccante. Metriche di monitoraggio e rilevamento anomalie per il traffico RPC, l'attività dei firmanti e la cadenza dei messaggi possono quindi servire come segnali di allerta precoce; storicamente questi aspetti sono stati sottovalutati in molti team operativi DeFi.

Sector Implications

I protocolli che offrono messaggistica, bridging o funzionalità cross‑chain saranno sottoposti a immediata pressione reputazionale e a un attento esame tecnico. Gli utenti istituzionali che hanno aumentato le allocazioni verso strategie cross‑chain nel 2025, dopo una relativa diminuzione nella custodia da exchange (le quote dei vault sono cresciute secondo metriche istituzionali e sondaggi di mercato), rivaluteranno il rischio controparte per i protocolli connessi. La perdita di USD 290 milioni probabilmente innescherà costi maggiori per audit di sicurezza on‑chain e per servizi di attestazione di terze parti, poiché i clienti richiederanno prove di configurazioni multi‑verificatore e multi‑firmante.

Exchange e custodi che interagiscono con rail connessi a LayerZero ora affrontano rischio di regolamento da receipt on‑chain che potrebbero successivamente essere annullati o dimostrarsi falsificati. Questo potrebbe influenzare le accantonazioni di bilancio e le valutazioni del rischio di controparte. I market maker che forniscono liquidità a token che dipendono dalla messaggistica interessata potrebbero allargare gli spread; in una finestra temporanea ci si può aspettare aumentata volatilità in questi token rispetto a indici cripto di riferimento come il Bloomberg Galaxy Crypto Index.

I mercati assicurativi per il rischio di smart contract e custodia rivedranno i prezzi in funzione di questo evento. Le società che offrono coperture per protocolli chiederanno premi più elevati o condizioni più severe per bridge e piattaforme di messaggistica cross‑chain, rispecchiando come gli assicuratori tradizionali hanno reagito a perdite ripetute in altri settori.