# rsETHAttackUpdate

#rsETHAttackUpdate : Технический анализ крупнейшей межцепочной атаки в DeFi
18 апреля 2026 года протокол rsETH KelpDAO пострадал от взлома на сумму $292 миллион через мост LayerZero, что стало одним из самых значительных сбоев в области безопасности DeFi. В этом обзоре рассматриваются векторы атаки, каскадные эффекты и выявленные структурные уязвимости.
Обзор атаки
Злоумышленник создал 116 500 неподдерживаемых токенов rsETH (18% от общего объема), взломав межцепочную инфраструктуру KelpDAO. Атака была направлена на критическую архитектурную слабость: мост KelpDAO работал с конфигурацией a1-of-1 DVN (Децентрализованная сеть валидаторов), делая LayerZero Labs единственным проверяющим органом для межцепочных сообщений.
Техническое выполнение
Атака следовала сложной многофазной стратегии:
1. Проникновение в инфраструктуру: злоумышленники получили доступ к RPC-узлам, используемым DVN LayerZero, заменив легитимные бинарные файлы op-geth на вредоносные, которые отдавали поддельные данные исключительно IP-адресам DVN.
2. Манипуляция трафиком: через DDoS-атаки на чистые узлы злоумышленники принудительно переключили все проверки на скомпрометированную инфраструктуру, обеспечивая маршрутизацию всего проверочного трафика через заражённые конечные точки.
3. Подделка сообщений: создано поддельное межцепочное сообщение, утверждающее, что оно исходит от развертывания KelpDAO Unichain, которое было подтверждено с помощью манипулированного состояния в блокчейне, проходящее через мультиподписной консенсус 2 из 3.
4. Вывод токенов: мост выпустил 116 500 rsETH на адреса, контролируемые злоумышленником, в одной транзакции, создав неподдерживаемые токены без реального обеспечения.
Анализ атрибуции указывает на группу Lazarus из Северной Кореи (TraderTraitor), известную своими продвинутыми криптоэксплойтами, нацеленными на финансовую инфраструктуру.
Финансовые каскадные эффекты
Злоумышленник немедленно использовал неподдерживаемые rsETH в качестве залога на рынках Aave V3 и V4:
- Взял взаймы 52 834 WETH на основной сети Ethereum
- Взял взаймы 29 782 WETH и 821 wstETH на Arbitrum
- Общий вывод: примерно 83 427 WETH и wstETH. Это создало значительный плохой долг в кредитных рынках Aave. Протокол отреагировал в течение нескольких часов, заморозив рынки rsETH и убрав возможность заимствования, но ущерб распространился по всему DeFi:
- Более $7 миллиарда долларов выведено из ведущих протоколов
- Aave потерял 6,2 миллиарда долларов (23% от общего TVL)
- Аналогичные оттоки произошли у Morpho, Sky и Jupiter Lend
- Панические выводы затронули даже неповрежденные протоколы на Solana. Меры экстренного реагирования
Несколько протоколов и сетей внедрили меры по устранению ущерба:
- KelpDAO приостановил контракты rsETH на основной сети и L2
- Arbitrum заморозил 30 000 ETH ($71 миллион), связанные с адресами взлома
- Tether заморозил $344 миллион USDT на двух кошельках Tron
- Сообщество Aave инициировало обсуждения о постоянном исключении rsETH. Обнаружены структурные уязвимости
Взлом выявил фундаментальные слабости в архитектуре межцепочного взаимодействия DeFi:
Централизованная проверка: несмотря на маркетинг децентрализации, мосты часто полагаются на концентрированную проверку. Конфигурация a1-of-1 DVN создала катастрофическую точку отказа.
Проблемы границ доверия: взлом произошёл на пересечении проверки сообщений LayerZero и принятия мостов KelpDAO, что демонстрирует, как модульная безопасность без строгих стандартов создает системный риск.
Усиление с помощью композиции: злоумышленники использовали неподдерживаемые токены в нескольких протоколах, показывая, как взаимосвязанность DeFi увеличивает риск отдельных сбоев.
Реальность управления: DeFi функционирует там, где теоретическая децентрализация маскирует практическую концентрацию контроля, усложняя ответственность и экстренные меры.
Влияние на индустрию
Этот инцидент имеет серьёзные последствия для развития DeFi:
Стандарты безопасности: межцепочные мосты требуют распределённых механизмов проверки и устранения единой точки отказа. Необходимо установить минимальные стандарты безопасности для архитектуры мостов.
Оценка рисков: протоколы кредитования должны осуществлять проверку залога в реальном времени и более строго оценивать обеспечение активов, связанных с мостами, перед принятием депозитов.
Меры экстренного реагирования: важна быстрая возможность заморозки рынков, но реактивные меры не заменяют профилактическую архитектуру безопасности.
Регуляторное внимание: масштабные взломы ускоряют регуляторное давление и требования к соблюдению для протоколов DeFi.
Бухгалтерские сложности: аудиторам трудно оценивать эффективность контроля, когда проверка зависит от потенциально скомпрометированной оффчейн-инфраструктуры.
Ключевые уроки
Для разработчиков и участников:
1. Архитектура безопасности мостов требует многоподписной распределённой проверки, а не односторонней верификации.
2. Обеспечение залога должно быть проверяемым в реальном времени, особенно для межцепочных активов.
3. Композиция протоколов создает системный риск, требующий комплексной оценки безопасности.
4. Меры экстренного реагирования должны сочетаться с профилактическими мерами безопасности.
5. Необходима тщательная проверка безопасности инфраструктуры перед внесением средств.
Заключение
Взлом rsETH показывает, что в DeFi дизайн мостов неразрывно связан с безопасностью активов. Распределение по цепочкам не автоматически распределяет риск. Этот инцидент выявляет противоречие между быстрой масштабируемостью и надежной архитектурой безопасности, определяющей развитие DeFi.
Атака раскрывает фундаментальную истину: в теории децентрализованное управление часто маскирует концентрацию контроля на практике. Для достижения устойчивой финансовой инфраструктуры индустрии необходимо устранить эти архитектурные уязвимости через более строгие стандарты, распределённые механизмы проверки и протоколы, ориентированные на безопасность, а не только на скорость развертывания.
Каскадные последствия для Aave и других протоколов показывают, как быстро сбои отдельных мостов превращаются в системные кризисы. По мере развития DeFi безопасность межцепочных решений должна стать неотъемлемой частью проектирования.
Предварительная атрибуция в пользу государственных акторов добавляет геополитический аспект к вызовам безопасности DeFi. Демонстрируемая сложность предполагает, что будущие атаки могут стать еще более сложными и масштабными, что делает проактивные инвестиции в безопасность жизненно важными для выживания протоколов.
Этот инцидент, вероятно, ускорит разработку более устойчивых межцепочных решений и потребует всесторонней переоценки рисков, связанных с мостами, в экосистеме DeFi. Вопрос уже не в том, можно ли обеспечить безопасность мостов, а в том, сможет ли индустрия внедрить адекватные стандарты безопасности до следующего взлома.

#加密市场行情震荡rsETH ОБНОВЛЕНИЕ ОТКАТА: КАК ОДНО ПОДЛОЖНОЕ СООБЩЕНИЕ ПОДРЯДИЛО $10 МИЛЛИАРДОВ В DEFI
АТАКА, ИЗМЕНИВШАЯ DEFI НАВСЕГДА
Ровно в 17:35 по всемирному времени 18 апреля 2026 года, одно поддельное межцепочечное сообщение вызвало крупнейшую в этом году уязвимость в DeFi. Мост rsETH на базе LayerZero проекта KelpDAO был опустошен на 116 500 rsETH, примерно $292 миллион долларов за считанные минуты. Ни один смарт-контракт не был взломан. Ни один код Solidity не был использован. Вся атака произошла в невидимом слое между блокчейнами, в инфраструктуре вне цепочки, на которую DeFi тихо полагалось, не полностью понимая её уязвимость. К моменту, когда пыль уляжется через 24 часа, общий заблокированный в DeFi объем снизился с 99,5 миллиарда долларов до 85,21 миллиарда долларов — разрушение стоимости на сумму $14 миллиард долларов за один эксплойт. Это обновление по атаке rsETH, которое каждый участник DeFi должен полностью понять.
ЧТО ТАКОЕ KELPDAO И ПОЧЕМУ ЭТО ВАЖНО
KelpDAO — это протокол ликвидного повторного стекинга, построенный на Ethereum и EigenLayer. Пользователи вносят ETH, протокол маршрутизирует его через инфраструктуру повторного стекинга EigenLayer для получения дополнительной доходности сверх стандартных наград за стекинг, и выпускает rsETH — торговый токен-расписку, представляющий позицию повторного стекинга плюс накопленные награды. К апрелю 2026 года rsETH превысил $1 миллиардов в общей заблокированной стоимости и был интегрирован в качестве залога в большинстве крупных рынков кредитования и платформ доходности в DeFi. rsETH работал на более чем 20 блокчейн-сетях, включая Arbitrum, Base, Linea, Mantle, Blast и Scroll, используя стандарт OFT LayerZero для перемещения между цепочками. Мост, который был опустошен, хранил резервы, поддерживающие все эти обернутые rsETH токены на всех Layer 2. Когда этот мост был опустошен, 18% всего циркулирующего rsETH стало необеспеченным одновременно на более чем 20 цепочках.
КАК БЫЛА ПРОВЕДЕНА АТАКА: ТЕХНИЧЕСКИЙ АНАЛИЗ
Это не взлом смарт-контракта. Каждая транзакция в цепочке выглядела полностью валидной. Подписи проверялись. Сообщения были правильно отформатированы. Уязвимость была в инфраструктуре вне цепочки — конкретно в сети децентрализованных проверяющих LayerZero, системе, которая подтверждает легитимность межцепочечных сообщений перед тем, как цепочка назначения выполнит их.
rsETH-мост KelpDAO использовал конфигурацию 1 из 1 DVN. Это означало, что только один субъект — DVN LayerZero Labs — должен был проверять и одобрять межцепочечные сообщения. Без второго проверяющего, без независимого подтверждения, без резервных систем. Один проверяющий. Одна точка отказа.
Группа Lazarus из Северной Кореи, государственный хакерский подраздел, обнаружила этот уязвимый участок и осуществила трёхэтапную инфраструктурную атаку. Сначала они взломали два внутренних RPC-узла, которые подавали рыночные данные в verifier LayerZero, отравив поток данных ложной информацией. Вторым шагом они запустили DDoS-атаку на резервные узлы, вынудив систему переключиться на уже скомпрометированную инфраструктуру. Третьим, когда verifier полностью работал на отравленных узлах, они внедрили поддельное межцепочечное сообщение LayerZero с номером 308, которое сообщало контракту моста Ethereum о действительном сжигании на исходной цепочке, что вызвало выпуск 116 500 rsETH на кошелек злоумышленника. Вся операция использовала заранее подготовленные кошельки, финансируемые через Tornado Cash примерно за 10 часов до атаки, что подтверждает, что это была спланированная операция на уровне государства, а не случайный взлом.
Через несколько минут злоумышленник заложил украденные rsETH в качестве залога на Aave и взял кредит более чем на $236 миллион долларов в WETH, используя необеспеченные токены как залог для реального займа. Воровство на $292 миллион превратилось в вывод WETH на сумму $236 миллион, прежде чем большинство пользователей поняли, что произошло.
РЕАКЦИЯ ЗА 46 МИНУТ, СПАСШАЯ $100 МИЛЛИОН
Команда экстренного реагирования KelpDAO обнаружила атаку и активировала мультисиг-режим экстренного остановки в 18:21 по всемирному времени, ровно через 46 минут после первоначального слива. Весь протокол был остановлен — заморожены депозиты, выводы и сам токен rsETH на основном и всех Layer 2. В 18:26 и 18:28 по UTC злоумышленник предпринял две попытки повторного слива по 40 000 rsETH (примерно $100 миллион долларов), обе были отменены из-за замороженных контрактов. 46 минут — это разница между эксплойтом на $292 миллион и катастрофой на $492 миллион. Быстрые действия команды KelpDAO — единственная причина, почему ущерб не удвоился.
КОНТАГИОН, ПРОНИКШИЙ В DEFI
Последствия атаки распространились быстрее, чем могла бы сдержать любая экстренная остановка. Aave, крупнейший протокол кредитования в DeFi с более чем $20 миллиардами в заблокированной стоимости, заморозил рынки rsETH на V3 и V4 в течение нескольких часов. Использование ETH на Aave кратковременно достигло 100%, поскольку пользователи спешили вывести средства. Токен AAVE упал примерно на 10-20%, поскольку трейдеры оценивали возможные риски плохого долга. SparkLend и Fluid также заморозили свои рынки rsETH. Lido Finance приостановила депозиты в свой продукт earnETH из-за экспозиции rsETH. Ethena временно остановила свои мосты LayerZero OFT с Ethereum mainnet в качестве меры предосторожности. Общий TVL в DeFi снизился с 99,5 миллиарда долларов до 85,21 миллиарда долларов за один день — $14 миллиард долларов, уничтоженных в экосистеме одним эксплойтом на одном мосту. Анализ инцидента Aave показал, что эксплойт создал необеспеченное залоговое обеспечение, использованное для займа примерно $190 миллиона долларов, что поставило протокол перед возможной плохой задолженностью в диапазоне от $123 миллионов до $230 миллионов в зависимости от того, как KelpDAO распределит недостачу между держателями rsETH.
ПРИЗНАНИЕ ГРУППЫ LAZARUS
Это был не случайный взлом. LayerZero официально связала атаку с группой Lazarus из Северной Кореи — тем же государственным хакерским подразделением, которое связано с эксплойтом $285 миллион Drift 1 апреля 2026 года и десятками предыдущих краж криптовалют на миллиарды долларов за несколько лет. Группа Lazarus — самая продуктивная и технически продвинутая операция по взлому криптовалют в мире, и их участие в двух из трёх крупнейших эксплойтов DeFi 2026 года за 18 дней подтверждает систематическую, скоординированную кампанию против инфраструктурного слоя DeFi, а не контрактного.
НЕПРЕЗЕНДЕНТНОЕ АВАРИЙНОЕ ЗАМОРОЗКА ARBITRUM
21 апреля 2026 года, через три дня после атаки, Совет безопасности Arbitrum осуществил самое масштабное в истории Layer 2 экстренное вмешательство. 12 членов совета, действующие по схеме мультисиг 9 из 12, изъяли 30 766 ETH с адреса злоумышленника на Arbitrum One и перевели их на замороженный промежуточный кошелек. Перевод завершился в 23:26 по восточному времени 21 апреля. Эти средства не могут быть перемещены без официального голосования в Arbitrum. Вмешательство вернуло примерно 71,15 миллиона долларов, около 29% ETH, накопленных злоумышленником на Arbitrum. Остальные 75 701 ETH (примерно $175 миллион долларов на Ethereum mainnet) уже были переведены и проходили через Thorchain и другие инструменты приватности до того, как было введено замораживание.
Это вызвало немедленные дебаты о децентрализации. Если 12 человек могут заморозить активы на Arbitrum, что это значит для обещания Layer 2 о безразрешительном владении? Поддерживающие называли это защитой DeFi от преступлений, спонсируемых государством. Критики — доказательством того, что Arbitrum в конечном итоге — это мультисиг-кошелек с возможностью переопределения контроля пользователя.
ВИРТУАЛЬНАЯ ВОЙНА ВИНЫ: LayerZero против KelpDAO
После эксплойта начался публичный спор между LayerZero и KelpDAO о том, кто несет ответственность. LayerZero опубликовала постмортем, в котором утверждается, что KelpDAO выбрала конфигурацию 1 из 1 DVN, несмотря на явные рекомендации по внедрению резервных проверяющих, и заявила, что немедленно прекратит подпись сообщений для любых приложений с однопроверяющей настройкой, вынудив широкую миграцию всех интеграций LayerZero.
KelpDAO ответила, что конфигурация 1 из 1 — это стандартная настройка, поставляемая LayerZero для новых развертываний, что документация LayerZero и публичный код развертывания продвигают однопроверяющую систему, и что скомпрометированная инфраструктура — RPC-узлы и серверы DVN — полностью построены и управляются LayerZero, а не Kelp. Исследователи безопасности частично поддержали Kelp, в том числе известный разработчик banteg, опубликовавший технический обзор, подтверждающий, что стандартный код LayerZero использует однопроверяющую систему по умолчанию для основных цепочек.
В результате возникла патовая ситуация без ясного разрешения. Обе стороны обещают провести полные постмортемы. Вопрос о том, подвержены ли все остальные приложения OFT 1 из 1, работающие на LayerZero, тому же типу атаки, остается без ответа.
ЧТО ЭТО ЗНАЧИТ ДЛЯ DEFI ВПЕРВЫЕ
Эксплойт KelpDAO — это не просто очередной взлом. Это событие, определяющее категорию, которое выявило структурную слепую зону всей межцепочечной экосистемы DeFi. Атака находится в той же исторической семье, что и сбои мостов Ronin и Nomad, где контрольные точки централизованной проверки становились высокоценной целью. Но она идет дальше, потому что цепочные контракты никогда не были затронуты. Каждая транзакция в цепочке была валидной. Неудача заключалась в невидимой инфраструктуре вне цепочки, которую DeFi считало решенной проблемой уже много лет.
Уроки очевидны и требуют немедленного реагирования. Конфигурации с несколькими проверяющими DVN теперь обязательны для любого моста с значительной стоимостью. Аудиты конфигураций, проверяющие настройки развертывания, а не только код смарт-контрактов, должны стать стандартной практикой. Мониторинг межцепочечных инвариантов, постоянно проверяющий соответствие выпущенных токенов на целевых цепочках с сожженными на исходных, — это новый минимальный уровень безопасности мостов. И вопрос о том, как DeFi справляется с операциями хакеров, спонсируемых государством, с ресурсами и терпением национального уровня, пока остается без ясного ответа.
$292 миллионный ущерб. $14 миллиардов TVL уничтожено. $230 миллионов потенциальных плохих долгов Aave. 30 766 ETH заморожено Arbitrum. Атрибуция Lazarus Group. Всё это указывает на один вывод: слой инфраструктуры межцепочечного DeFi — наиболее недостаточно защищенная поверхность во всей экосистеме, и самые продвинутые хакеры мира выявили этот факт и систематически используют его.
Атака rsETH — это не предупреждение. Это вердикт. Исправьте инфраструктурный слой или потеряете всё, что находится сверху.

#加密市场行情震荡rsETH ОБНОВЛЕНИЕ ОТКАТА: КАК ОДНО ПОДЛОЖНОЕ СООБЩЕНИЕ ПОДРЯДИЛО $10 МИЛЛИАРДОВ В DEFI
АТАКА, ИЗМЕНИВШАЯ DEFI НАВСЕГДА
Ровно в 17:35 по всемирному времени 18 апреля 2026 года, одно поддельное межцепочечное сообщение вызвало крупнейшую в этом году уязвимость в DeFi. Мост rsETH на базе LayerZero проекта KelpDAO был опустошен на 116 500 rsETH, примерно $292 миллион долларов за считанные минуты. Ни один смарт-контракт не был взломан. Ни один код Solidity не был использован. Вся атака произошла в невидимом слое между блокчейнами, в инфраструктуре вне цепочки, на которую DeFi тихо полагалось, не полностью понимая её уязвимость. К моменту, когда пыль уляжется через 24 часа, общий заблокированный в DeFi объем снизился с 99,5 миллиарда долларов до 85,21 миллиарда долларов — разрушение стоимости на сумму $14 миллиард долларов за один эксплойт. Это обновление по атаке rsETH, которое каждый участник DeFi должен полностью понять.
ЧТО ТАКОЕ KELPDAO И ПОЧЕМУ ЭТО ВАЖНО
KelpDAO — это протокол ликвидного повторного стекинга, построенный на Ethereum и EigenLayer. Пользователи вносят ETH, протокол маршрутизирует его через инфраструктуру повторного стекинга EigenLayer для получения дополнительной доходности сверх стандартных наград за стекинг, и выпускает rsETH — торговый токен-расписку, представляющий позицию повторного стекинга плюс накопленные награды. К апрелю 2026 года rsETH превысил $1 миллиардов в общей заблокированной стоимости и был интегрирован в качестве залога в большинстве крупных рынков кредитования и платформ доходности в DeFi. rsETH работал на более чем 20 блокчейн-сетях, включая Arbitrum, Base, Linea, Mantle, Blast и Scroll, используя стандарт OFT LayerZero для перемещения между цепочками. Мост, который был опустошен, хранил резервы, поддерживающие все эти обернутые rsETH токены на всех Layer 2. Когда этот мост был опустошен, 18% всего циркулирующего rsETH стало необеспеченным одновременно на более чем 20 цепочках.
КАК БЫЛА ПРОВЕДЕНА АТАКА: ТЕХНИЧЕСКИЙ АНАЛИЗ
Это не взлом смарт-контракта. Каждая транзакция в цепочке выглядела полностью валидной. Подписи проверялись. Сообщения были правильно отформатированы. Уязвимость была в инфраструктуре вне цепочки — конкретно в сети децентрализованных проверяющих LayerZero, системе, которая подтверждает легитимность межцепочечных сообщений перед тем, как цепочка назначения выполнит их.
rsETH-мост KelpDAO использовал конфигурацию 1 из 1 DVN. Это означало, что только один субъект — DVN LayerZero Labs — должен был проверять и одобрять межцепочечные сообщения. Без второго проверяющего, без независимого подтверждения, без резервных систем. Один проверяющий. Одна точка отказа.
Группа Lazarus из Северной Кореи, государственный хакерский подраздел, обнаружила этот уязвимый участок и осуществила трёхэтапную инфраструктурную атаку. Сначала они взломали два внутренних RPC-узла, которые подавали рыночные данные в verifier LayerZero, отравив поток данных ложной информацией. Вторым шагом они запустили DDoS-атаку на резервные узлы, вынудив систему переключиться на уже скомпрометированную инфраструктуру. Третьим, когда verifier полностью работал на отравленных узлах, они внедрили поддельное межцепочечное сообщение LayerZero с номером 308, которое сообщало контракту моста Ethereum о действительном сжигании на исходной цепочке, что вызвало выпуск 116 500 rsETH на кошелек злоумышленника. Вся операция использовала заранее подготовленные кошельки, финансируемые через Tornado Cash примерно за 10 часов до атаки, что подтверждает, что это была спланированная операция на уровне государства, а не случайный взлом.
Через несколько минут злоумышленник заложил украденные rsETH в качестве залога на Aave и взял кредит более чем на $236 миллион долларов в WETH, используя необеспеченные токены как залог для реального займа. Воровство на $292 миллион превратилось в вывод WETH на сумму $236 миллион, прежде чем большинство пользователей поняли, что произошло.
РЕАКЦИЯ ЗА 46 МИНУТ, СПАСШАЯ $100 МИЛЛИОН
Команда экстренного реагирования KelpDAO обнаружила атаку и активировала мультисиг-режим экстренного остановки в 18:21 по всемирному времени, ровно через 46 минут после первоначального слива. Весь протокол был остановлен — заморожены депозиты, выводы и сам токен rsETH на основном и всех Layer 2. В 18:26 и 18:28 по UTC злоумышленник предпринял две попытки повторного слива по 40 000 rsETH (примерно $100 миллион долларов), обе были отменены из-за замороженных контрактов. 46 минут — это разница между эксплойтом на $292 миллион и катастрофой на $492 миллион. Быстрые действия команды KelpDAO — единственная причина, почему ущерб не удвоился.
КОНТАГИОН, ПРОНИКШИЙ В DEFI
Последствия атаки распространились быстрее, чем могла бы сдержать любая экстренная остановка. Aave, крупнейший протокол кредитования в DeFi с более чем $20 миллиардами в заблокированной стоимости, заморозил рынки rsETH на V3 и V4 в течение нескольких часов. Использование ETH на Aave кратковременно достигло 100%, поскольку пользователи спешили вывести средства. Токен AAVE упал примерно на 10-20%, поскольку трейдеры оценивали возможные риски плохого долга. SparkLend и Fluid также заморозили свои рынки rsETH. Lido Finance приостановила депозиты в свой продукт earnETH из-за экспозиции rsETH. Ethena временно остановила свои мосты LayerZero OFT с Ethereum mainnet в качестве меры предосторожности. Общий TVL в DeFi снизился с 99,5 миллиарда долларов до 85,21 миллиарда долларов за один день — $14 миллиард долларов, уничтоженных в экосистеме одним эксплойтом на одном мосту. Анализ инцидента Aave показал, что эксплойт создал необеспеченное залоговое обеспечение, использованное для займа примерно $190 миллиона долларов, что поставило протокол перед возможной плохой задолженностью в диапазоне от $123 миллионов до $230 миллионов в зависимости от того, как KelpDAO распределит недостачу между держателями rsETH.
ПРИЗНАНИЕ ГРУППЫ LAZARUS
Это был не случайный взлом. LayerZero официально связала атаку с группой Lazarus из Северной Кореи — тем же государственным хакерским подразделением, которое связано с эксплойтом $285 миллион Drift 1 апреля 2026 года и десятками предыдущих краж криптовалют на миллиарды долларов за несколько лет. Группа Lazarus — самая продуктивная и технически продвинутая операция по взлому криптовалют в мире, и их участие в двух из трёх крупнейших эксплойтов DeFi 2026 года за 18 дней подтверждает систематическую, скоординированную кампанию против инфраструктурного слоя DeFi, а не контрактного.
НЕПРЕЗЕНДЕНТНОЕ АВАРИЙНОЕ ЗАМОРОЗКА ARBITRUM
21 апреля 2026 года, через три дня после атаки, Совет безопасности Arbitrum осуществил самое масштабное в истории Layer 2 экстренное вмешательство. 12 членов совета, действующие по схеме мультисиг 9 из 12, изъяли 30 766 ETH с адреса злоумышленника на Arbitrum One и перевели их на замороженный промежуточный кошелек. Перевод завершился в 23:26 по восточному времени 21 апреля. Эти средства не могут быть перемещены без официального голосования в Arbitrum. Вмешательство вернуло примерно 71,15 миллиона долларов, около 29% ETH, накопленных злоумышленником на Arbitrum. Остальные 75 701 ETH (примерно $175 миллион долларов на Ethereum mainnet) уже были переведены и проходили через Thorchain и другие инструменты приватности до того, как было введено замораживание.
Это вызвало немедленные дебаты о децентрализации. Если 12 человек могут заморозить активы на Arbitrum, что это значит для обещания Layer 2 о безразрешительном владении? Поддерживающие называли это защитой DeFi от преступлений, спонсируемых государством. Критики — доказательством того, что Arbitrum в конечном итоге — это мультисиг-кошелек с возможностью переопределения контроля пользователя.
ВИРТУАЛЬНАЯ ВОЙНА ВИНЫ: LayerZero против KelpDAO
После эксплойта начался публичный спор между LayerZero и KelpDAO о том, кто несет ответственность. LayerZero опубликовала постмортем, в котором утверждается, что KelpDAO выбрала конфигурацию 1 из 1 DVN, несмотря на явные рекомендации по внедрению резервных проверяющих, и заявила, что немедленно прекратит подпись сообщений для любых приложений с однопроверяющей настройкой, вынудив широкую миграцию всех интеграций LayerZero.
KelpDAO ответила, что конфигурация 1 из 1 — это стандартная настройка, поставляемая LayerZero для новых развертываний, что документация LayerZero и публичный код развертывания продвигают однопроверяющую систему, и что скомпрометированная инфраструктура — RPC-узлы и серверы DVN — полностью построены и управляются LayerZero, а не Kelp. Исследователи безопасности частично поддержали Kelp, в том числе известный разработчик banteg, опубликовавший технический обзор, подтверждающий, что стандартный код LayerZero использует однопроверяющую систему по умолчанию для основных цепочек.
В результате возникла патовая ситуация без ясного разрешения. Обе стороны обещают провести полные постмортемы. Вопрос о том, подвержены ли все остальные приложения OFT 1 из 1, работающие на LayerZero, тому же типу атаки, остается без ответа.
ЧТО ЭТО ЗНАЧИТ ДЛЯ DEFI ВПЕРВЫЕ
Эксплойт KelpDAO — это не просто очередной взлом. Это событие, определяющее категорию, которое выявило структурную слепую зону всей межцепочечной экосистемы DeFi. Атака находится в той же исторической семье, что и сбои мостов Ronin и Nomad, где контрольные точки централизованной проверки становились высокоценной целью. Но она идет дальше, потому что цепочные контракты никогда не были затронуты. Каждая транзакция в цепочке была валидной. Неудача заключалась в невидимой инфраструктуре вне цепочки, которую DeFi считало решенной проблемой уже много лет.
Уроки очевидны и требуют немедленного реагирования. Конфигурации с несколькими проверяющими DVN теперь обязательны для любого моста с значительной стоимостью. Аудиты конфигураций, проверяющие настройки развертывания, а не только код смарт-контрактов, должны стать стандартной практикой. Мониторинг межцепочечных инвариантов, постоянно проверяющий соответствие выпущенных токенов на целевых цепочках с сожженными на исходных, — это новый минимальный уровень безопасности мостов. И вопрос о том, как DeFi справляется с операциями хакеров, спонсируемых государством, с ресурсами и терпением национального уровня, пока остается без ясного ответа.
$292 миллионный ущерб. $14 миллиардов TVL уничтожено. $230 миллионов потенциальных плохих долгов Aave. 30 766 ETH заморожено Arbitrum. Атрибуция Lazarus Group. Всё это указывает на один вывод: слой инфраструктуры межцепочечного DeFi — наиболее недостаточно защищенная поверхность во всей экосистеме, и самые продвинутые хакеры мира выявили этот факт и систематически используют его.
Атака rsETH — это не предупреждение. Это вердикт. Исправьте инфраструктурный слой или потеряете всё, что находится сверху.

#rsETHAttackUpdate
🚨 Уязвимость rsETH: $293M Пробуждающий звонок для инфраструктуры межцепочечного DeFi
Недавняя уязвимость, нацеленная на ликвидный токен повторного залога rsETH от KelpDAO, стала одной из самых значительных ошибок в безопасности DeFi в 2026 году, приведя к потерям примерно в 293,7 миллиона долларов и выявив глубокие структурные риски в межцепочечных финансах.
Этот инцидент — не просто взлом протокола — он представляет собой системный сбой в безопасности инфраструктуры межцепочечного взаимодействия, особенно в механизмах мостов и проверки, лежащих в основе современных экосистем DeFi.
🔍 Обзор инцидента
18 апреля 2026 года злоумышленники использовали критическую уязвимость в системе моста KelpDAO, основанной на LayerZero, и вывели около 116 500 rsETH (~293 млн долларов).
Атака использовала слабость в конфигурации Decentralized Verifier Network (DVN), в частности, в настройке односторонней проверки, что создало единственную точку отказа в проверке межцепочечных сообщений.
Этот дефект дизайна позволил злоумышленникам подделывать данные проверки и выполнять несанкционированные межцепочечные переводы, в конечном итоге истощая значительную часть циркулирующего запаса rsETH.
⚙️ Как работала уязвимость
Атака следовала тщательно структурированной последовательности:
Финансирование через каналы конфиденциальности (Tornado Cash)
Использование функции lzReceive в EndpointV2 LayerZero
Внедрение поддельных данных проверки DVN
Межцепочечное извлечение rsETH через несколько сетей
После извлечения украденные активы не остались без дела. Вместо этого они активно использовались на рынках кредитования, таких как Aave, создавая каскад ликвидности и кризис залога.
💥 Распространение инфекции по рынкам DeFi
Уязвимость быстро распространилась за пределы KelpDAO:
~89 567 rsETH внесено в кредитные протоколы
~$190M в WETH взято взаймы под необеспеченный залог
Позиции распределены по экосистемам Ethereum и L2
Поскольку залог не был обеспечен реальным ETH, эти позиции стали структурно неликвидными, что привело к постоянным плохим долгам в пулах кредитования DeFi.
📉️ Экспозиция Aave по плохим долгам
Внутренние оценки аналитиков протокола показывают:
$123М–$230M потенциальных плохих долгов
До 15%+ сценариев вычета по rsETH рынкам
Концентрированные потери в L2-экосистемах, таких как Arbitrum, Base и Mantle
В худших сценариях дополнительные рыночные стрессовые ситуации могут вызвать еще более $100М экспозиции, если цены ETH продолжат падать.
Этот инцидент уже вынудил провести экстренные заморозки и обсуждения в руководстве крупных протоколов DeFi.
🧠 Основные выявленные структурные сбои
1. Мост ≠ Просто инфраструктура
Межцепочечные мосты теперь доказали, что являются ключевыми векторами риска активов, а не периферийными системами.
2. Риск композиции
Протоколы DeFi функционировали правильно по отдельности — но сбой системного взаимодействия вызвал распространение коллапса.
3. Слепые зоны инфраструктуры
Уязвимость полностью обошла смарт-контракты и нацелилась на:
RPC-узлы
Верфикационные слои DVN
Инфраструктуру межцепочечной передачи сообщений
⚖️ Реакция индустрии и усилия по восстановлению
Экосистема DeFi отреагировала быстро:
Экстренные заморозки рынка по кредитным протоколам
Частичное восстановление украденных активов (~40K rsETH)
Многосторонние обещания по возврату активов на сумму около 38 500 ETH
Проекты по восстановлению под руководством руководства в процессе реализации
Ключевыми участниками являются крупные стейкхолдеры DeFi и поставщики инфраструктуры, что свидетельствует о беспрецедентном сотрудничестве.
⚠️ Влияние на рынок
Уязвимость вызвала:
Резкие колебания цен на токены DeFi
Временный кризис ликвидности в пулах кредитования
Давление на rsETH по оттоку с нескольких цепочек
Повышенное напряжение на рынках стейблкоинов
🧭️ Что это значит для DeFi
Этот инцидент подчеркивает фундаментальный сдвиг в понимании рисков:
Безопасность DeFi — это уже не только аудит смарт-контрактов — теперь включает:
Дизайн межцепочечных мостов
Целостность проверочных сетей
Картирование инфраструктурных зависимостей
Риск конфигурации по умолчанию
Как отметил один аналитик:
«Большинство протоколов полностью уязвимы на уровне инфраструктуры.»
🔮 Итоговая мысль
Уязвимость rsETH — это не просто $293M потеря — это стресс-тест взаимосвязанной архитектуры DeFi.
Он показывает, что:
Риск больше не изолирован по протоколам
Дизайн межцепочечных систем увеличивает системную экспозицию
Безопасность инфраструктуры теперь критически важна
Процесс восстановления может временно стабилизировать рынки, но структурные вопросы, поднятые этим инцидентом, сформируют следующую эпоху развития DeFi.
⚠️ Предупреждение о рисках
Инвестиции в криптовалюты и DeFi связаны с высоким риском и крайней волатильностью. Прошлые результаты не гарантируют будущие. Всегда проводите независимые исследования и строго управляйте рисками.
Dragon Fly Official