Il blame game più caro della DeFi del 2026 è iniziato oggi. Il 20 aprile LayerZero ha pubblicato il post-mortem ufficiale dell'hack da 292 milioni a Kelp DAO e l'attribuzione è pesante: Lazarus Group, precisamente il sottogruppo TraderTraitor — lo stesso hub cyber nordcoreano dietro l'exploit da 1,4 miliardi su Bybit nel 2025. Ma nel documento, LayerZero scarica la responsabilità tecnica su Kelp. Poche ore dopo, Kelp ribalta tutto.
LayerZero
Lazarus colpisce due volte in 18 giorni
Il conto complessivo è brutale. Drift Protocol su Solana, 1 aprile: 285 milioni. Kelp DAO su Ethereum, 18 aprile: 292 milioni. Totale: oltre 575 milioni di dollari drenati dalla stessa unità nordcoreana in meno di tre settimane, usando vettori completamente diversi.
- Drift: social engineering sui firmatari multisig del Security Council, con CVT token fabbricato ad hoc
- Kelp: compromissione di due RPC node di LayerZero più DDoS sui backup per forzare il failover
- TraderTraitor si conferma l'entità più pericolosa per la DeFi nel 2026, con 18 attacchi attribuiti dall'inizio dell'anno secondo Elliptic
Sulla ricostruzione completa del caso Drift puoi leggere il nostro approfondimento sulla settimana nera delle crypto.
LayerZero contro Kelp: chi ha sbagliato davvero?
Il nocciolo della disputa è la configurazione 1/1 DVN — un singolo verifier autorizza i messaggi cross-chain, senza ridondanza. LayerZero sostiene di aver ripetutamente raccomandato a Kelp un setup multi-DVN. Kelp replica che quel setup 1/1 era il default GitHub di LayerZero, usato dal 40% dei protocolli sull'infrastruttura.
Preliminary indicators suggest attribution to Lazarus Group, more specifically TraderTraitor — LayerZero
We’re fully aware of the rsETH exploit and have been in active remediation with the @KelpDAO team since the incident and continue to monitor. All other applications remain safe.
— LayerZero (@LayerZero_Core) April 19, 2026
We are still identifying the root cause alongside @_SEAL_Org and others. We will publish a complete…
Zach Rynes, community liaison di Chainlink, è stato il primo a intervenire su X: LayerZero sta deflectando responsabilità per la propria infrastruttura DVN compromessa. La posizione è stata confermata tecnicamente da banteg di Yearn Finance, che ha revisionato il deployment pubblico di LayerZero: la reference configuration ships con verifica single-source di default su Ethereum, BSC, Polygon, Arbitrum e Optimism.
Il 47% delle app LayerZero resta vulnerabile
I numeri di Dune Analytics, pubblicati oggi, sono la notizia dentro la notizia. Su 2.665 OApps attive analizzate negli ultimi 90 giorni, il 47% opera con un security floor 1-di-1. LayerZero ha annunciato lo stop alla firma dei messaggi per qualunque app con setup 1/1: migrazione forzata per centinaia di progetti nelle prossime settimane.
- TVL DeFi: crollato da 99,5 a 86,3 miliardi in 48 ore (-13,2B$)
- Aave: 8,45 miliardi in depositi usciti, mercati ETH/USDT/USDC al 100% di utilization
- Token colpiti: AAVE -22%, ZRO -22%, LDO -19%, ENA -13%, COMP -10%
La domanda che tutto l'ecosistema si sta facendo
Se il 47% dei bridge LayerZero gira ancora con la stessa configurazione fragile, quanti altri 292 milioni ci vorranno prima che la DeFi cross-chain ripensi seriamente i suoi single point of failure? La composabilità è il superpotere della DeFi, ma quando un singolo tassello cede — RPC, DVN, multisig — ogni protocollo connesso diventa un domino. Per capire come proteggerti in questo scenario, la nostra Guida Web3 è il punto di partenza giusto.
