#KelpDAOBridgeHacked

Злам моста KelpDAO: руйнівний удар по безпеці DeFi

18 квітня 2026 року протокол ліквідного повторного залучення KelpDAO зазнав одного з найкатастрофічніших порушень безпеки в історії DeFi, коли зловмисники вивели приблизно 116 500 токенів rsETH вартістю від $292 до $294 мільйонів доларів. Ця експлуатація наразі є найбільшим злом у DeFi 2026 року, перевищуючи попередній рекорд, встановлений Drift Protocol з втратами у $285 мільйонів раніше цього місяця.

Атака була спрямована на інфраструктуру міжланцюгового мосту KelpDAO, зокрема шлях мосту rsETH, що з’єднує Unichain з основною мережею Ethereum. Протокол використовував стандарт OFT від LayerZero для міжланцюгових передач токенів, але в його системі безпеки була критична вразливість. KelpDAO налаштував свій міст із системою 1-із-1 децентралізованої мережі верифікаторів, тобто один вузол верифікатора відповідав за підтвердження всіх вхідних міжланцюгових повідомлень перед випуском коштів. Ця централізована точка відмови стала ахіллесовою п’ятою, яку зловмисники використали.

Методика атаки була складною і багатоступеневою. Спершу зловмисники зламали щонайменше два RPC-вузли, що подавали дані до єдиного верифікатора, і вставили шкідливе програмне забезпечення, яке створювало фальшиві міжланцюгові повідомлення. Потім вони запустили DDoS-атаку проти неушкоджених RPC-вузлів, змусивши систему перейти на зламану інфраструктуру. Це створило ехо-камеру, де отруєні дані стали єдиним джерелом правди. Зламаний верифікатор затвердив підроблені виклики lzReceive на контракті EndpointV2 LayerZero, створюючи і випускаючи 116 500 непідкріплених токенів rsETH безпосередньо на адреси, контрольовані зловмисниками. Потім шкідливе програмне забезпечення самознищилося, стираючи журнали для приховування слідів.

Наслідки поширилися далеко за межі самого KelpDAO. Зловмисники одразу ж використали викрадені rsETH як заставу у щонайменше дев’яти великих протоколах DeFi, включаючи Aave V3 і V4, Compound V3, Euler, SparkLend, Fluid і Upshift, позичаючи понад $236 мільйонів у WETH. Потім вони конвертували приблизно $178 мільйонів у ETH на основній мережі Ethereum і $72 мільйонів на Arbitrum. Вкрадені rsETH залишаються заблокованими і непідкріпленими на більш ніж 20 блокчейн-мережах, включаючи Base, Arbitrum, Linea і Blast.

Ця одна експлуатація спричинила каскад системних наслідків у всій екосистемі DeFi. Загальна заблокована вартість (TVL) у децентралізованих фінансових протоколах знизилася на $13 до $14 мільярдів доларів протягом 48 годин. Лише Aave зазнав відтоку депозитів на $6 до $8.45 мільярдів, а його рідний токен знизився приблизно на 10%. Інцидент спричинив значний борг у кількох кредитних протоколах і викликав екстрені заходи з боку багатьох платформ DeFi.

Зусилля з реагування розпочалися за кілька хвилин після злома. Мульти-підпис KelpDAO зупинив основні контракти rsETH у основній мережі та кількох мережах Layer-2 о 18:21 UTC, приблизно через 46 хвилин після початкового зламу. Дві подальші спроби виведення, що загалом становили близько 40 000 rsETH кожна, зазнали невдачі через ці захисні заходи. Aave заблокував ринки rsETH у V3 і V4 протягом кількох годин, а SparkLend, Fluid і Upshift зробили те саме. Lido призупинив депозити earnETH, а Ethena тимчасово припинила роботу своїх мостів LayerZero приблизно на шість годин у якості запобіжного заходу, незважаючи на відсутність прямої експозиції.

Обговорення щодо attribution між KelpDAO і LayerZero стало центральною темою унаслідок інциденту. KelpDAO стверджує, що стандартні налаштування LayerZero сприяли вразливості, тоді як LayerZero заперечує, що KelpDAO застосував нестандартну слабку конфігурацію, відхиляючись від рекомендованих практик безпеки. LayerZero приписує атаку групі Lazarus з Північної Кореї, посилаючись на судово-експертні докази, що зв’язують операцію з цією державою. Зловмисники профінансували свій початковий гаманець через Tornado Cash приблизно за десять годин до здійснення зламу.

Цей інцидент є більше ніж ізольованим порушенням безпеки. Він відкриває фундаментальні слабкості у проектуванні та захисті міжланцюгових мостів у всьому DeFi-ландшафті. Залежність від механізмів підтвердження з однією точкою відмови, навіть якщо вони позначені як децентралізовані, створює поверхні для атак, які можуть використати досвідчені зловмисники. Той факт, що непідкріплені токени можуть бути створені і одразу прийняті як застава у кількох великих протоколах, підкреслює взаємопов’язані ризики сучасного DeFi.

Для ширшої криптовалютної екосистеми злом KelpDAO слугує різким нагадуванням, що інфраструктура мостів залишається однією з найуразливіших складових децентралізованих фінансів. Незважаючи на численні аудити та перевірки безпеки, складність міжланцюгових протоколів продовжує створювати можливості для експлуатації. Інцидент знову підняв дискусії про компроміси між інтероперабельністю та безпекою, і багато хто у спільноті закликає до більш надійних багатопідписних та децентралізованих механізмів верифікації.

Поки тривають розслідування і протоколи працюють над обмеженням шкоди, злом KelpDAO, ймовірно, вплине на стандарти безпеки та кращі практики у галузі на багато років уперед. Масштаб порушення та його каскадні наслідки демонструють, що в дедалі більш взаємопов’язаному DeFi-екосистемі безпека окремих протоколів тісно пов’язана з стійкістю інфраструктури, на якій вони базуються.