#KelpDAOBridgeHacked

**Уязвимость моста KelpDAO: всесторонний разбор хакерской атаки на сумму $292 миллионов в DeFi**

18 апреля 2026 года экосистема децентрализованных финансов стала свидетелем одного из своих самых значительных инцидентов безопасности, когда мост rsETH, управляемый LayerZero и принадлежащий KelpDAO, был взломан, что привело к потерям примерно на $292 миллионов. Этот инцидент вызвал волну шока в мире DeFi, запустив серию экстренных мер в нескольких кредитных протоколах и выявив критические уязвимости инфраструктуры межцепочечных мостов.

**Механизм эксплуатации**

Около 17:35 UTC 18 апреля злоумышленник осуществил сложную атаку, нацеленную на мост rsETH KelpDAO, использующий технологию адаптера Omnichain Fungible Token (OFT) LayerZero. Злоумышленник смог подделать межцепочное сообщение через функцию lzReceive, эффективно обойдя механизмы проверки на основной сети Ethereum. Подделав источник цепочки как Unichain (EID 30320), злоумышленник смог выпустить 116 500 неподдерживаемых rsETH токенов из эскроу моста без соответствующего депозита на исходной цепочке.

Причиной этой уязвимости стала хрупкая конфигурация сети проверяющих Decentralized Verifier Network (DVN), основанная на ограниченных RPC-эндпоинтах. Эти эндпоинты, судя по всему, были скомпрометированы, что привело к подаче ложных данных о проверке в контракт моста. Важно отметить, что на исходной цепочке не было сожжено никаких токенов, однако мост ошибочно создал эквивалентное количество rsETH на Ethereum. Основной транзакционный хэш этого взлома — 0x1ae232da212c45f35c1525f851e4c41d529bf18af862d9ce9fd40bf709db4222, его можно проследить через блокчейн-обозреватели, такие как Routescan.

**Немедленные последствия и распространение в DeFi**

Вместо того чтобы просто удерживать украденные rsETH, злоумышленник сразу же использовал эти неподдерживаемые токены в качестве залога в нескольких кредитных протоколах, превратив проблему безопасности моста в системный кризис DeFi. Украденные rsETH были внесены в рынки Aave V3 и V4 как на основной сети Ethereum, так и на Arbitrum, а также в такие платформы, как Compound V3, Euler и около 30 других. Из этих позиций злоумышленник занял примерно 83 427 WETH и wstETH, при этом 52 834 WETH были взяты в долг на Ethereum, а 29 782 WETH и 821 wstETH — на Arbitrum.

Эта агрессивная стратегия заимствования создала значительный риск плохого долга по всему DeFi. По текущим оценкам, потенциальные потери могут составлять от $120 миллионов до $236 миллионов долларов по пострадавшим протоколам, при этом Aave может столкнуться с наибольшими убытками — до $230 миллионов в плохом долге. Эта ситуация оказала сильное давление на токен управления AAVE и вызвала серьезные вопросы о практике управления рисками в крупных кредитных платформах.

**Меры экстренного реагирования**

Реакция на этот взлом была быстрой, но реактивной. Около 18:21 UTC 18 апреля мультисиг-учреждение KelpDAO в экстренном режиме заблокировало ключевые контракты rsETH на основной сети и всех Layer 2 сетях. Вскоре после этого Aave принял решение заморозить рынки rsETH на версиях V3 и V4, что быстро поддержали протоколы Spark, Fluid, Ethena, Upshift, Morpho и многие другие.

Основатель и CEO Aave, Стани Кулечов, подтвердил через X, что rsETH был заморожен как на Aave V3, так и на V4, и актив был лишен всех возможностей заимствования в ответ на взлом моста KelpDAO. Официальный аккаунт Aave отметил, что сообщество должно обсудить вопрос о постоянном исключении rsETH из всех рынков Aave после устранения текущего кризиса, следуя практике, установленной после предыдущих случаев плохого долга.

**Атрибуция и технический анализ**

Исследователи безопасности и аналитические компании связали этот взлом с группой Lazarus из Северной Кореи, известной как государственный хакерский коллектив, специализирующийся на атаках на криптоплатформы. Методика атаки соответствует известным тактикам Lazarus Group, включая целенаправленное проникновение, манипуляцию механизмами доверия и подавление обнаружения.

LayerZero Labs предоставила дополнительные технические детали относительно вектора атаки. Согласно их анализу, злоумышленник получил доступ к списку RPC-эндпоинтов, используемых их инфраструктурой DVN, после чего скомпрометировал два независимых узла, работающих на отдельных кластерах без прямого соединения друг с другом. Затем злоумышленник заменил бинарные файлы, управляющие узлами op-geth, что дало ему контроль над данными проверки, поступающими в контракты моста.

Сообщается, что KelpDAO возложила вину за утечку на инфраструктуру LayerZero, в то время как LayerZero утверждает, что проблема возникла из-за конкретной конфигурации DVN KelpDAO. LayerZero подчеркивает, что они и другие внешние участники ранее делились рекомендациями по диверсификации DVN, и правильная настройка могла бы предотвратить этот взлом.

**Влияние на рынок и де-пейджинг rsETH**

Этот взлом оказал серьезное влияние на рыночную позицию rsETH. Токен значительно потерял привязку к своему целевому соотношению ETH, что создало неопределенность для держателей на более чем 20 блокчейнах, где развернуты wrapped rsETH. Около 18% циркулирующего предложения rsETH теперь представляют собой неподдерживаемые токены, что сильно подорвало доверие к этому деривативу стейкинга.

Более широкий эффект ощутили и другие участники DeFi: общие потери от взломов в 2026 году уже превысили $750 миллионов долларов к середине апреля. Этот взлом KelpDAO превзошел предыдущий рекорд за 2026 год — взлом протокола Drift на сумму $285 миллионов, произошедший 1 апреля, — и на несколько миллионов долларов превысил его. Концентрация взломов мостов в 2026 году подчеркнула продолжающиеся проблемы безопасности инфраструктуры межцепочечной связи.

**Текущий статус и усилия по восстановлению**

По состоянию на 21 апреля 2026 года KelpDAO и LayerZero активно работают над всесторонним анализом причин и подготовкой отчета о постмортеме. KelpDAO подтвердил через официальный аккаунт X, что сотрудничает с LayerZero, Unichain, аудиторами безопасности и экспертами по блокчейну для расследования инцидента и разработки плана восстановления.

LayerZero заявила, что знала о случившемся с момента его возникновения и активно работает над устранением ситуации совместно с командой KelpDAO. Они подчеркнули, что другие приложения, использующие инфраструктуру LayerZero, остаются в безопасности, и в ближайшее время будет опубликован подробный постмортем совместно с KelpDAO и командой реагирования SEAL 911.

Адреса злоумышленника, включая 0x1F4C1c2e610f089D6914c4448E6F21Cb0db3adeF, отмечены на крупных блокчейн-обозревателях и находятся под активным наблюдением для отслеживания возможных движений украденных средств. Однако, учитывая сложность атаки и участие государственных акторов, перспективы возврата средств остаются неопределенными.

**Ключевые выводы**

Этот взлом стал поворотным моментом для безопасности DeFi, продемонстрировав, как уязвимости мостов могут привести к системным рискам по всему экосистему. Инцидент подчеркивает необходимость надежных конфигураций DVN, диверсифицированных механизмов проверки и проактивного управления рисками в межцепочечных протоколах. Для пользователей событие служит напоминанием о рисках, связанных с wrapped-активами и взаимосвязанной природой современных кредитных рынков DeFi.

Ситуация продолжает развиваться: пострадавшие протоколы работают над оценкой потерь и разработкой стратегий восстановления. Пользователям рекомендуется следить за официальными каналами KelpDAO, LayerZero и пострадавших платформ для получения обновлений о возможных компенсациях или механизмах восстановления.