Il protocollo di interoperabilità della blockchain LayerZero ha rilasciato delle scuse pubbliche dopo settimane di critiche riguardanti un exploit crypto da 292 milioni di dollari che ha colpito Kelp DAO e ha spinto diversi importanti clienti a lasciare la piattaforma.
L’incidente deriva da un exploit del 19 aprile che ha preso di mira Kelp DAO, una piattaforma finanziaria decentralizzata che si basava sull’infrastruttura cross-chain di LayerZero. Gli aggressori sono riusciti a rubare circa 292 milioni di dollari in asset criptovalute, in quello che è diventato uno dei maggiori furti di criptovalute segnalati nel 2026.
Dopo l’attacco, LayerZero inizialmente ha incolpato Kelp DAO per l’uso di una configurazione di verifica decentralizzata “1-of-1” insicura. La configurazione permetteva a un singolo verificatore di approvare le transazioni cross-chain, creando un punto critico di guasto che gli attaccanti potevano sfruttare.
Tuttavia, dopo settimane di reazioni negative pubbliche e crescenti pressioni da parte della comunità crypto, LayerZero ha cambiato posizione e ha riconosciuto il proprio ruolo nell’abilitare questa configurazione rischiosa.
In una dichiarazione pubblica, l’azienda ha ammesso di aver “commesso un errore” permettendo alla sua rete di verificatori decentralizzati di operare come unico verificatore per transazioni di alto valore. LayerZero ha dichiarato di non aver valutato adeguatamente i rischi associati all’allestimento e di aver accettato la responsabilità per la supervisione.
Le scuse sono arrivate dopo che diversi progetti di finanza decentralizzata di alto profilo hanno iniziato a prendere le distanze dal protocollo. Secondo quanto riportato, Kelp DAO ha trasferito l’infrastruttura a fornitori concorrenti, mentre altri clienti hanno anch’essi spostato asset da LayerZero a causa di preoccupazioni riguardo alle pratiche di sicurezza e alla gestione delle crisi.
LayerZero ha dichiarato di aver ora disabilitato il supporto per configurazioni a singolo verificatore all’interno del suo sistema di rete decentralizzato di verificatore. L’azienda ha inoltre annunciato piani per migrare le applicazioni verso configurazioni multi-verificatore più sicure e aumentare l’educazione degli sviluppatori sulle pratiche di deployment sicura.
Nonostante l’ammissione, LayerZero ha sostenuto che il suo protocollo principale non è stato direttamente compromesso. L’azienda ha sostenuto che l’exploit mirava a debolezze nella configurazione dell’infrastruttura piuttosto che a una falla nel protocollo sottostante stesso.
La violazione ha intensificato l’attenzione sull’infrastruttura cross-chain bridge, che rimane uno dei settori più frequentemente presi di mira nell’industria delle criptovalute. I ricercatori di sicurezza hanno ripetutamente avvertito che i bridge blockchain spesso introducono superfici di attacco aggiuntive a causa della loro dipendenza da validatori, smart contract e sistemi di verifica esterni.
I protocolli cross-chain sono stati collegati ad alcuni dei più grandi furti di criptovalute degli ultimi anni, inclusi attacchi associati a gruppi di hacker nordcoreani sponsorizzati dallo Stato e operazioni cybercriminali organizzate contro ecosistemi finanziari decentralizzati.
La reazione della comunità alle scuse di LayerZero è rimasta mista. Alcuni utenti hanno criticato l’azienda per aver inizialmente incolpato la vittima invece di riconoscere la responsabilità condivisa, mentre altri hanno messo in dubbio se la reputazione del protocollo potesse riprendersi completamente dopo l’incidente.