#KelpDAOBridgeHacked Міст Kelp DAO зламали: $292 Мільйонна експлуатація шокує DeFi до глибини

Катастрофічна помилка у міжланцюговій безпеці призвела до найбільшого злома DeFi 2026 року, викликавши гостру гру звинувачень між Kelp DAO і LayerZero, а також загрожуючи паралізувати такі великі протоколи кредитування, як Aave.

У тому, що швидко стало найруйнівнішою експлуатацією децентралізованих фінансів (DeFi) цього року, Kelp DAO зазнав $292 мільйонних( збитків у вихідні. Атака була спрямована на міжланцюговий міст протоколу, що працює на базі LayerZero, що призвело до крадіжки 116 500 токенів rsETH.

Інцидент, який стався 18 квітня, не лише висмоктав значну частину ліквідності Kelp, а й викликав каскадну кризу у всій екосистемі, залучивши гіганта кредитування Aave і спричинивши гарячий спір щодо того, хто саме несе відповідальність за цю помилку безпеки.

Механізм атаки: Як хакери обійшли безпеку

Зловмисник поповнив свій гаманець через Tornado Cash приблизно за 10 годин до експлуатації, використовуючи класичну техніку маскування, яку застосовують досвідчені хакерські групи. Попередні розслідування, зокрема з боку блокчейн-детектива ZachXBT, вказують на північнокорейську групу Lazarus як ймовірного виконавця.

Механізм атаки був надзвичайно технічним. За повідомленнями, хакери зламали список RPC-нодів, що використовуються Decentralized Verified Network )DVN( LayerZero Labs. Зіпсували два вузли і запустили DDoS-атаку на решту, змусивши мережу прийняти фальшиве міжланцюгове повідомлення.

Це підробне повідомлення обдурило містовий контракт Kelp DAO, змусивши його "звільнити" 116 500 rsETH на основній мережі Ethereum, які мали залишатися заблокованими.

Гра звинувачень: Kelp DAO проти LayerZero

Після інциденту між Kelp DAO і LayerZero розгорівся публічний конфлікт щодо причин вразливості.

· Позиція LayerZero: Протокол повідомлень прямо звинуватив Kelp DAO у використанні конфігурації "1 з 1 DVN" )Decentralized Verifier Network(. Вони стверджують, що ця налаштування створила катастрофічну єдину точку відмови, оскільки не було незалежного другого валідатора для виявлення зловмисної транзакції. LayerZero заявляє, що вони рекомендували найкращі практики щодо диверсифікації, але Kelp вирішив їх не застосовувати.
· Захист Kelp DAO: У твердій відповіді Kelp DAO відхилив ці звинувачення, стверджуючи, що модель 1 з 1 DVN була стандартною конфігурацією, викладеною в документації LayerZero для нових розгортань OFT )Omnichain Fungible Token$230M . Kelp стверджує, що працює на цій інфраструктурі з січня 2024 року і що ця налаштування раніше була підтверджена представниками LayerZero як відповідна.

Розповсюдження кризи: Aave стикається з $190 Діркою

Найсерйозніші наслідки злома — системний ризик для Aave, провідного протоколу кредитування DeFi.

Замість того, щоб продати викрадені rsETH, зловмисник депонув 89 567 токенів у Aave як заставу і позичив приблизно (мільйон у WETH і wstETH. Це залишило Aave з заставою, чия вартість суттєво знижена.

Згідно з інцидентним звітом Aave Labs, потенційні збитки для Aave дуже різняться залежно від того, як Kelp DAO вирішить розподілити недостачу:

1. Спільні збитки $124 )мільйон(: Якщо збитки розподілять між усіма власниками rsETH )подія відхилення курсу на 15%(.
2. Ізоляція Layer 2 $230 )мільйон(: Якщо збитки будуть ізольовані лише до мереж Layer 2, залишаючи основні активи Aave частково без забезпечення.

У відповідь Aave заблокував ринки rsETH у V3 і V4, встановивши коефіцієнти кредитування до нуля, щоб запобігти подальшому позичанню. Токен Aave )AAVE$10 знизився на 10% після новин, а понад (мільярд) у загальній заблокованій вартості (TVL) покинув протокол, оскільки користувачі поспішили зняти кошти.

Аварійні заходи: Arbitrum заморожує $71 Мільйон

У рідкісному випадку швидкого втручання управління, Радбез Arbitrum втрутився, щоб заморозити 30 766 ETH — оцінюваних приблизно у $71,1 мільйон — у зв’язку з експлуатацією у мережі Arbitrum One.

Ці кошти були переведені на проміжний заморожений гаманець. Arbitrum заявив, що ці активи залишаться нерухомими до ухвалення офіційного рішення управління, що може призвести до повернення коштів користувачам. Радбез зазначив, що діяли за участю правоохоронних органів щодо особи, яка здійснила злом.

Що буде далі?

На даний момент ситуація залишається нестабільною, але критичною. Kelp DAO призупинив свої контракти rsETH у основній мережі та кількох мережах Layer-2. Основна проблема для подальших зусиль — те, що Kelp DAO, ймовірно, не має достатніх резервів, щоб самостійно покрити $292 мільйонні( збитки.

Галузеві спостерігачі припускають, що LayerZero може бути змушений втрутитися, щоб зберегти репутацію свого екосистемного OFT, або що Aave доведеться використати свій DAO-казначейський фонд $181 )мільйон для покриття боргів. Однак обидві сторони наразі заперечують пряму відповідальність.