#KelpDAOBridgeHacked

Злом моста KelpDAO — це не просто ще один заголовок про криптовалютний хак. Це серйозне нагадування про те, що в DeFi найбільший ризик часто полягає не у головному продукті, якому користувачі довіряють щодня, а у інфраструктурі, яка працює під ним.

18 квітня зловмисник зняв 116 500 rsETH з налаштування моста KelpDAO, що на той час становило близько $293 мільйонів доларів. Це становило майже 18% обігу rsETH. Кілька звітів описали цей випадок як найбільший DeFi-злом 2026 року на даний момент.

Що робить цю інцидент особливо важливим, так це те, що сама модель повторного залучення (restaking) не здається частиною, яка зазнала збою. Звіти припускають, що справжньою слабкістю була конфігурація моста, пов’язана з повідомленнями LayerZero. Маршрут, за повідомленнями, використовував налаштування верифікатора 1-із-1, тобто один прийнятий верифікаційний підтверджувач міг зробити фальшиве міжланцюгове повідомлення дійсним.

Простими словами, якщо міст покладається лише на один контрольний пункт, і цей пункт скомпрометовано або неправильно використано, вся система може бути під загрозою. Саме тому мости й досі залишаються однією з найслабших точок у DeFi.

Збитки не зупинилися на KelpDAO. Після отримання rsETH зловмисник, за повідомленнями, використав викрадені токени як заставу на Aave і позичив великі суми WETH проти них. Це розширило проблему у широку екосистему DeFi, оскільки, коли погане забезпечення потрапляє на ринок позик, проблема стає більшою за один протокол.

Звіти стверджують, що Aave заморозив ринки rsETH і оцінив наслідки приблизно у $196 мільйонів доларів у поганому боргу, тоді як страх поширення швидко вплинув на ширший ринковий настрій.

Зараз інцидент перетворився на битву звинувачень. LayerZero стверджує, що злом був ізольований до конфігурації KelpDAO і вказує на налаштування з одним валідатором як на причину успішного підробленого повідомлення. KelpDAO, натомість, стверджує, що ризикована конфігурація відповідала задокументованим за замовчуванням LayerZero і базувалася на інфраструктурі, керованій LayerZero.

Інакше кажучи, обидві сторони погоджуються, що шлях моста був джерелом проблеми, але вони не погоджуються щодо того, хто має нести відповідальність за те, що цей дизайн був запущений у такому масштабі.

З’являється також геополітичний аспект. Звіти вказують, що попередні ознаки можуть свідчити про групу TraderTraitor з Північної Кореї. Це ще рання версія і її слід сприймати обережно, але вона додає ще один рівень серйозності до злома, який вже починає формуватися як одна з визначальних подій у крипто-безпеці цього року.

Настоящий урок тут виходить за межі KelpDAO. DeFi став глибоко взаємопов’язаним. Мости з’єднують ланцюги, токени для повторного залучення рухаються між екосистемами, а ринки позик приймають ці активи як заставу. Така комодитизація сприяє зростанню у добрі часи, але під час збоїв вона також швидко поширює шкоду.

Один слабкий верифікатор, одне підроблене повідомлення і один токсичний заставний актив можуть раптово вплинути на кредиторів, постачальників ліквідності, системи управління та довіру користувачів одночасно.

Якщо цей інцидент щось змінить, то це має змінити ставлення ринку до “достатньо безпечної” інфраструктури. Протокол може мати сильний брендинг, швидке впровадження і міцну основну механіку, але якщо його припущення щодо мостів слабкі, вся система залишається вразливою.

Злом KelpDAO — це не просто історія про втрачені кошти. Це історія про приховану довіру, ризиковані налаштування за замовчуванням і ціну, яку платить DeFi, коли недооцінює інфраструктурний ризик.