#KelpDAOBridgeHacked

Взлом моста KelpDAO: технический разбор и влияние на индустрию
18 апреля 2026 года мост rsETH KelpDAO через кросс-чейн столкнулся с крупнейшим взломом DeFi 2026 года, в результате которого злоумышленники вывели примерно 116 500 rsETH, оцененных примерно в $292 миллионов. Этот инцидент составляет около 18% от общего циркулирующего предложения rsETH и вызвал каскадные эффекты по всей экосистеме DeFi.
Анализ векторов атаки
Взлом был осуществлен с помощью сложной многоэтапной атаки, нацеленной на инфраструктуру LayerZero. Злоумышленники сначала скомпрометировали два независимых RPC-узла, управляемых LayerZero Labs, заменив легитимные бинарные файлы op-geth на вредоносные версии. Эти заражённые узлы были специально настроены для обмана сети децентрализованных проверяющих LayerZero (DVN), при этом они сохраняли правдивые ответы для других систем мониторинга, эффективно избегая обнаружения.
Последовательность атаки включала скоординированный DDoS-удар по третьему чистому RPC-узлу, что заставило DVN переключиться на скомпрометированную инфраструктуру. Конфигурация моста KelpDAO использовала настройку 1 из 1 для DVN, то есть только DVN LayerZero Labs требовался для подтверждения межцепочечных сообщений. Заражённые узлы успешно подтвердили сфабрикованную транзакцию сжигания на Unichain, которая была передана системой Relay EndpointV2 в адаптер OFT KelpDAO, что вызвало несанкционированное высвобождение резервов основной сети.
После эксплуатации злоумышленник систематически отмывал украденные rsETH через несколько кошельков, размещая средства в качестве залога на рынках Aave V3 на Ethereum и Arbitrum. Злоумышленник обеспечил примерно 75 700 WETH на Ethereum и 30 800 WETH на Arbitrum, достигнув коэффициентов заем/стоимость около 99%, прежде чем протоколы заморозили дальнейшее заимствование.
Атрибуция и профиль угрозы
Исследователи безопасности и аналитические фирмы в области блокчейна приписали атаку группе Lazarus из Северной Кореи, конкретно кластеру TraderTraitor. Операционные характеристики соответствуют задокументированным методологиям Lazarus: терпеливым тактикам вторжений, манипуляциям доверенной инфраструктурой и сложным механизмам подавления обнаружения. Вредоносное ПО, использованное при атаке, саморазрушилось после взлома, систематически стирая судебные доказательства с скомпрометированных систем.
Ответ протокола и меры по локализации
Aave ответила в течение нескольких часов, заморозив рынки rsETH на платформах V3 и V4, включая интеграцию SparkLend. В настоящее время протокол сталкивается с примерно $177 миллионом плохого долга, преимущественно сосредоточенного на Arbitrum. Общая заблокированная стоимость (TVL) в экосистеме Aave снизилась с $26 миллиардов до $18 миллиардов, что соответствует оттоку капитала на сумму от 8 до 14 миллиардов долларов, вызванному выводом ликвидности провайдерами.
Заражение распространилось за пределы Aave, более 15 протоколов ввели экстренные паузы на мостах. Пулы WETH для заимствования достигли 100% использования, создавая риски вторичной ликвидации для заемных позиций. KelpDAO заблокировала адреса злоумышленников и утверждает, что предотвратила дополнительные попытки атаки на сумму около $95 миллионов.
Обсуждение причины
Существует значительный спор между KelpDAO и LayerZero относительно основной ответственности. LayerZero утверждает, что конфигурация 1 из 1 для DVN, используемая KelpDAO, отклонилась от рекомендуемых практик безопасности, подчеркивая, что сама инфраструктура протокола не содержала уязвимостей, и инцидент был ограничен инфраструктурой rsETH. LayerZero впоследствии исправила уязвимые системы DVN и RPC.
KelpDAO возражает, что документация по умолчанию и стартовые настройки LayerZero рекомендовали конфигурацию 1 из 1, и что поставщик инфраструктуры несет ответственность за безопасность RPC-узлов. Обе стороны согласны, что уязвимости смарт-контрактов не были использованы; корень проблемы — в доверительных предположениях при конфигурациях с одним узлом отказа.
Влияние на безопасность DeFi
Инцидент выявил критические уязвимости в архитектуре кросс-чейн мостов, особенно в отношении безопасности RPC-инфраструктуры. RPC-узлы стали системным слабым звеном, поскольку большинство протоколов полагаются на ограниченное число поставщиков без адекватной диверсификации отказоустойчивости. Взлом показывает, что даже сложные системы мультиподписей и проверки могут быть скомпрометированы, если исходные источники данных заражены.
Аналитики отрасли рекомендуют немедленное внедрение конфигураций с несколькими DVN, диверсифицированных сетей RPC-поставщиков и систем аудита конфигураций в реальном времени. Модульная архитектура безопасности LayerZero ограничила радиус поражения только rsETH, без воздействия на другие OFT или OApp контракты, что свидетельствует о том, что системы межцепочечной передачи сообщений могут сохранять устойчивость даже при целенаправленных атаках на инфраструктуру.
Текущий статус и усилия по восстановлению
Управление Aave в настоящее время обсуждает механизмы социализации долгов для решения ситуации с плохим долгом. KelpDAO, LayerZero и Aave создали координационные каналы для операций по восстановлению. Коллектив по безопасности блокчейнов Seal-911 активно отслеживает перемещения средств, часть украденных активов проходит через Tornado Cash и другие протоколы маскировки. Каналы переговоров с белыми хакерами остаются открытыми, хотя подтвержденных данных о восстановлении пока нет.
Взлом установил новый рекорд по количеству DeFi-взломов 2026 года, превзойдя инцидент с Drift Protocol на сумму $285 миллионов от 1 апреля. Этот инцидент подчеркивает продолжающиеся опасения по поводу безопасности мостов как основного вектора атаки в DeFi, при этом инфраструктура кросс-чейн остается наиболее уязвимой точкой безопасности экосистемы.
#KelpDAO #DeFiSecurity #BridgeExploit #CryptoNews