#Gate13周年现场直击

КРУПНЕЙШАЯ DEFI-эксплуатация 2026 года только что произошла, и последствия продолжают распространяться.

18 апреля 2026 года в 17:35 UTC злоумышленник вывел 116 500 токенов rsETH стоимостью примерно $292 миллионов с межцепочечного моста Kelp DAO, основанного на LayerZero. Украденная сумма составляет примерно 18 процентов от общего циркулирующего предложения rsETH в 630 000 токенов, и взлом теперь официально подтвержден как крупнейший DeFi-хак 2026 года. Это был не случайный взлом с целью быстрого грабежа. Это была точная инфраструктурная атака, спланированная за месяцы, выполненная менее чем за 46 минут.

Как работала атака:
Злоумышленники заранее пополнили шесть кошельков через Tornado Cash примерно за 10 часов до вывода средств. Затем они взломали два из RPC-узлов, на которых полагался проверяющий LayerZero для подтверждения межцепочечных транзакций, заменив программное обеспечение узлов на вредоносные версии, которые сообщали ложные данные о транзакциях проверяющему. Одновременная атака DDoS вызвала переключение, в результате чего взломанные узлы оказались в цепочке проверки. Обманув проверяющего, мост Kelp выпустил 116 500 rsETH на адрес, контролируемый злоумышленником.
Экстренный мультиподписанный кошелек Kelp остановил основные контракты через 46 минут после вывода средств. Две последующие попытки в 18:26 и 18:28 UTC, каждая из которых нацелена на еще 40 000 rsETH стоимостью примерно $100 миллионов, были заблокированы. Контракты по повторной ставке не были затронуты. Взлом полностью ограничился слоем моста.

Основная причина: одна точка отказа
Атака сработала только потому, что Kelp использовал конфигурацию проверяющего 1 из 1, то есть LayerZero Labs был единственным субъектом, проверяющим сообщения для rsETH-моста. В правильно защищенной мульти-DVN-системе для утверждения любого межцепочечного сообщения требуется согласие нескольких независимых проверяющих. Взлом одного узла не был бы достаточен для подделки действительной инструкции. LayerZero заявил, что его публичный чек-лист интеграции и прямые коммуникации с Kelp рекомендовали настройку с несколькими проверяющими и резервированием, но Kelp решил оставить конфигурацию 1 из 1.

Kelp оспаривает эту версию. Источник, знакомый с позицией Kelp, сообщил CoinDesk, что через канал прямых коммуникаций с LayerZero, открытый с июля 2024 года, не было конкретных рекомендаций по изменению конфигурации DVN rsETH. Руководство по быстрому старту LayerZero и стандартная конфигурация на GitHub указывают на настройку 1 из 1, и примерно 40 процентов протоколов на LayerZero используют ту же конфигурацию. Публичная игра обвинений между двумя крупными поставщиками инфраструктуры DeFi уже стала самостоятельной историей.

Государственный актор: группа Lazarus
Заявление LayerZero по инциденту гласит: «Предварительные показатели указывают на причастность к высокоразвитому государственному актору, вероятно, группе Lazarus из DPRK, более конкретно TraderTraitor». Теперь группа Lazarus связана как с эксплойтом Drift Protocol 1 апреля, так и с атакой на Kelp 18 апреля, что означает, что одна и та же северокорейская единица вывела более $575 миллионов из DeFi за 18 дней через два структурно разных вектора атаки: социальную инженерию подписантов управления в Drift и отравление RPC инфраструктуры в Kelp. LayerZero связалась с несколькими правоохранительными органами по всему миру и сотрудничает с Seal911 для отслеживания украденных средств.

Распространение: Aave, TVL и плохой долг
Злоумышленник заложил украденные rsETH в Aave V3 в качестве залога и взял взамен обернутый эфир, оставив примерно $196 миллионов в плохом долге, сосредоточенном в паре rsETH-WETH на Ethereum. В отчете о происшествии Aave описаны два возможных сценария: убытки около $123 миллионов, если ущерб разделить между всеми rsETH, или до $230 миллионов, если он ограничится Layer 2 сетями, при этом окончательный эффект зависит от того, как Kelp DAO распределит недостачу.

Общий заблокированный объем на Aave снизился до 17,5 миллиарда долларов, уменьшившись на 8,8 миллиарда за два дня. В более широком секторе DeFi также наблюдался сильный отток средств, общий объем заблокированных средств по всем цепочкам снизился с более чем $99 миллиардов до примерно $86 миллиардов. SparkLend, Fluid и Lido Finance приостановили свои рынки, связанные с rsETH. Ethena отключила свои мосты LayerZero OFT с Ethereum mainnet в качестве меры предосторожности, несмотря на отсутствие прямого воздействия на rsETH.

rsETH развернут более чем в 20 сетях, включая Arbitrum, Base, Linea, Blast, Mantle и Scroll. После истощения резервов моста держатели на всех L2-цепочках теперь сталкиваются с неопределенностью относительно полной поддержки своих обернутых rsETH, что создает давление на выкуп, угрожающее вынудить Kelp распустить позиции EigenLayer по повторной ставке для выполнения выводов.

Что это значит для defi:
Этот взлом — не только история Kelp DAO. Это структурное предупреждение. Межцепочечные мосты остаются наиболее уязвимой поверхностью в DeFi, и этот инцидент показывает, что даже проверенная инфраструктура обмена сообщениями, такая как LayerZero, может быть использована в оружие через ошибки конфигурации на уровне интеграции. Взлом Kelp демонстрирует, что Lazarus Group из Северной Кореи развивается за пределы изолированных хаков, быстро меняя тактику с социальной инженерии на эксплуатацию структурных слабых мест в криптоинфраструктуре, что свидетельствует о продолжительной кампании, управляемой государством, а не о единичных инцидентах. Архитектура с несколькими проверяющими, резервированные RPC и независимые аудиты безопасности конфигураций мостов больше не являются лучшими практиками. После 18 апреля 2026 года они становятся необходимыми условиями выживания.

#Gate13周年
#CreatorCarvinal
#KelpDAOBridgeHacked