#KelpDAOBridgeHacked

#KelpDAOBridgeHacked
Эксплуатация моста KelpDAO: технический разбор и влияние на индустрию

18 апреля 2026 года мост rsETH от KelpDAO пострадал от крупнейшей в 2026 году атаки в сфере DeFi, в результате которой злоумышленники вывели примерно 116 500 rsETH, оцененных примерно в $292 миллионов долларов. Этот инцидент составляет около 18% от общего циркулирующего предложения rsETH и вызвал каскадные последствия по всей экосистеме DeFi.

Анализ векторов атаки

Эксплуатация была выполнена с помощью сложной многоэтапной атаки, нацеленной на инфраструктуру LayerZero. Злоумышленники сначала взломали два независимых RPC-узла, управляемых LayerZero Labs, заменив легитимные бинарные файлы op-geth на вредоносные версии. Эти заражённые узлы были специально настроены, чтобы обмануть децентрализованную сеть проверки LayerZero (DVN), при этом сохраняя правдивые ответы для других систем мониторинга, эффективно избегая обнаружения.

Последовательность атаки включала скоординированный DDoS-удар по третьему чистому RPC-узлу, что заставило DVN переключиться на скомпрометированную инфраструктуру. Конфигурация моста KelpDAO использовала схему 1 из 1 для DVN, то есть для подтверждения межцепочечных сообщений требовался только DVN LayerZero Labs. Заражённые узлы успешно подтвердили сфабрикованную транзакцию сжигания на Unichain, которая затем была передана системой Relay EndpointV2 в адаптер KelpDAO OFT, что вызвало несанкционированное высвобождение резервов основной сети.

После эксплуатации злоумышленник систематически отмывал украденные rsETH через несколько кошельков, размещая средства в качестве залога на рынках Aave V3 на Ethereum и Arbitrum. Злоумышленник обеспечил примерно 75 700 WETH на Ethereum и 30 800 WETH на Arbitrum, достигнув коэффициентов заем/стоимость около 99%, после чего протоколы заморозили дальнейшее заимствование.

Атрибуция и профиль угрозы

Исследователи безопасности и аналитические компании в области блокчейна связали атаку с группой Lazarus из Северной Кореи, в частности с кластером TraderTraitor. Характеристики операции соответствуют задокументированным методам Lazarus: терпеливым тактикам вторжений, манипуляциям доверенной инфраструктурой и сложным механизмам подавления обнаружения. Вредоносное ПО, использованное в атаке, саморазрушилось после эксплуатации, систематически уничтожая судебные доказательства с скомпрометированных систем.

Реакция протокола и меры по локализации

Aave отреагировал в течение нескольких часов, заморозив рынки rsETH в версиях V3 и V4, включая интеграцию SparkLend. В настоящее время протокол сталкивается с примерно $177 миллионом плохого долга, преимущественно сосредоточенного на Arbitrum. Общая заблокированная стоимость (TVL) в экосистеме Aave снизилась с $26 миллиардов до $18 миллиардов, что соответствует оттоку ликвидности на сумму от 8 до 14 миллиардов долларов, поскольку поставщики ликвидности выводили капитал.

Заражение распространилось за пределы Aave: более 15 протоколов ввели экстренные паузы на мостах. Пулы WETH демонстрировали 100% загрузку, создавая риски вторичной ликвидации для заемных позиций. KelpDAO занес адреса злоумышленников в черный список и утверждает, что предотвратил дополнительные попытки атаки на сумму около $95 миллионов.

Анализ причин возникновения инцидента

Между KelpDAO и LayerZero существует значительный спор относительно основной ответственности. LayerZero утверждает, что конфигурация 1 из 1 для DVN, рекомендованная в документации, отклонилась от рекомендуемых практик безопасности, подчеркивая, что у протокола не было уязвимостей, и инцидент ограничился инфраструктурой rsETH. LayerZero впоследствии исправил уязвимые системы DVN и RPC.

KelpDAO возражает, что документация и стартовые настройки LayerZero рекомендовали именно схему 1 из 1, и что поставщик инфраструктуры несет ответственность за безопасность RPC-узлов. Обе стороны согласны, что уязвимости смарт-контрактов не были использованы; причина кроется в доверительных предположениях, связанных с конфигурациями с одним узлом отказа.

Влияние на безопасность DeFi

Инцидент выявил критические уязвимости архитектуры межцепочечных мостов, особенно в части безопасности RPC-инфраструктуры. RPC-узлы стали системным слабым звеном, поскольку большинство протоколов полагаются на ограниченное число поставщиков без должной диверсификации отказоустойчивости. Атака показывает, что даже сложные системы мультиподписей и проверки могут быть скомпрометированы, если исходные данные источников заражены.

Аналитики отрасли рекомендуют немедленное внедрение конфигураций с несколькими DVN, диверсификацию сети RPC-поставщиков и системы аудита конфигураций в реальном времени. Модульная архитектура безопасности LayerZero ограничила радиус поражения только rsETH, не затронув другие OFT или OApp контракты, что свидетельствует о возможности сохранения устойчивости даже при целенаправленных атаках на инфраструктуру.

Текущий статус и усилия по восстановлению

Голосование в Aave сейчас обсуждает механизмы социального распределения долгов для решения ситуации с плохим долгом. KelpDAO, LayerZero и Aave создали координационные каналы для операций по восстановлению. Коллектив по безопасности блокчейна Seal-911 активно отслеживает перемещения средств, часть украденных активов проходит через Tornado Cash и другие протоколы маскировки. Каналы переговоров с белыми хакерами остаются открытыми, хотя подтверждений восстановления пока не поступало.

Этот инцидент установил новый рекорд по взломам DeFi в 2026 году, превзойдя инцидент с Drift Protocol на сумму $285 миллионов от 1 апреля. Он подчеркивает продолжающиеся опасения по поводу безопасности мостов как основного вектора атаки в DeFi, а инфраструктура межцепочечных сообщений остается самой уязвимой точкой безопасности экосистемы.

#KelpDAO #DeFiSecurity #BridgeExploit #CryptoNews