#Gate13周年现场直击

НАЙБІЛЬША ПРОКОЛ ДЕФІ 2026 РОКУ ЩЕ ТРИВАЄ, А НАСЛІДКИ ЩЕ РОЗПОВСЮДЖУЮТЬСЯ.

18 квітня 2026 року о 17:35 за універсальним часом UTC зловмисник вивів 116 500 токенів rsETH вартістю приблизно $292 мільйонів з міжланцюгового мосту Kelp DAO, який працює на LayerZero. Вкрадені кошти становлять приблизно 18 відсотків від усього обігу rsETH у 630 000 токенів, і цей злом офіційно підтверджено як найбільший хак DeFi у 2026 році. Це був не випадковий напад. Це була точна атака на інфраструктуру, спланована місяцями, виконана менш ніж за 46 хвилин.

Як працював напад:
Зловмисники попередньо поповнили шість гаманців через Tornado Cash приблизно за 10 годин до виведення коштів. Потім вони зламали два з RPC-нодів, на яких базувався верифікатор LayerZero, замінивши програмне забезпечення нодів на шкідливі версії, що повідомляли неправдиві дані про транзакції верифікатору. Одночасна атака DDoS спричинила автоматичне перемикання, що привело до залучення зламаних нодів у процес верифікації. Обманутий верифікатор дозволив мосту Kelp випустити 116 500 rsETH на адресу, контрольовану зловмисником.
Аварійний мульти-сигнальний гаманець Kelp зупинив основні контракти через 46 хвилин після виведення коштів. Дві наступні спроби в 18:26 та 18:28 UTC, кожна з яких націлювалася на ще 40 000 rsETH вартістю приблизно $100 мільйонів, були заблоковані. Контракти повторного залучення не були порушені. Весь злом був ізольований виключно до рівня мосту.

Основна причина: єдина точка відмови
Напад був можливий лише тому, що Kelp працював у конфігурації 1 з 1 верифікатора, тобто LayerZero Labs був єдиним суб’єктом, що підтверджує повідомлення до і з rsETH мосту. У правильно захищеній мульти-DVN системі для затвердження будь-якого міжланцюгового повідомлення потрібен консенсус кількох незалежних верифікаторів. Зламаний один нод не міг створити дійсну команду. LayerZero заявила, що її публічний чекліст інтеграції та прямі комунікації з Kelp з липня 2024 року рекомендували налаштування з кількома верифікаторами з резервуванням, але Kelp обрав зберегти конфігурацію 1 з 1.

Kelp оскаржує цю інформацію. Джерело, знайоме з позицією Kelp, повідомило CoinDesk, що через прямий канал зв’язку з LayerZero, відкритий з липня 2024 року, не було зроблено конкретних рекомендацій щодо зміни конфігурації rsETH DVN. Саме швидкий стартовий гайд LayerZero та стандартна конфігурація на GitHub вказують на налаштування 1 з 1 DVN, і приблизно 40 відсотків протоколів на LayerZero використовують цю ж конфігурацію. Публічний конфлікт між двома основними постачальниками інфраструктури DeFi вже став окремою історією.

Державний актор: група Lazarus
Заява LayerZero щодо інциденту: "Попередні ознаки вказують на attribution до високотехнологічного державного актора, ймовірно, групи Lazarus з DPRK, більш конкретно TraderTraitor." Тепер групу Lazarus пов’язують як із зломом Drift Protocol 1 квітня, так і з атакою на Kelp 18 квітня, що означає, що одна й та сама північнокорейська група вивела понад $575 мільйонів з DeFi за 18 днів через два структурно різні вектори атаки: соціальну інженерію підписантів управління в Drift і отруєння RPC інфраструктури в Kelp. LayerZero контактувала з кількома правоохоронними органами по всьому світу і співпрацює з Seal911 для відслідковування вкрадених коштів.

Розповсюдження: aave, TVL і поганий борг
Зловмисник депонув вкрадені rsETH на Aave V3 як заставу і позичив обгорілий ефір проти нього, залишивши приблизно $196 мільйонів у поганому боргу, зосередженому у парі rsETH-WETH на Ethereum. Звіт про інцидент Aave описує два можливі сценарії: приблизно $123 мільйонів збитків, якщо збитки розподілять між усіма rsETH, або до $230 мільйонів, якщо обмежити їх мережею Layer 2, залежно від того, як Kelp DAO розподілить недостачу.

Загальна заблокована вартість на Aave знизилася до 17,5 мільярдів доларів, зменшившись на 8,8 мільярдів за два дні. Ширший сектор DeFi також зазнав значних відтоків, загальна заблокована вартість по всіх ланцюгах знизилася з понад $99 мільярдів до приблизно $86 мільярдів. SparkLend, Fluid і Lido Finance припинили торгівлю своїми rsETH-ринками. Ethena закрила свої мостові OFT LayerZero з Ethereum mainnet як запобіжний захід, незважаючи на відсутність прямого впливу на rsETH.

rsETH розгорнутий більш ніж у 20 мережах, включаючи Arbitrum, Base, Linea, Blast, Mantle і Scroll. Після вичерпання резерву мосту власники у всіх розгортаннях L2 тепер стикаються з невизначеністю щодо повного забезпечення своїх обгорнутих rsETH, що створює тиск на викуп, який може змусити Kelp розгортати позиції EigenLayer для виконання зняття.

Що це означає для DeFi:
Цей злом — це не лише історія Kelp DAO. Це структурне попередження. Міжланцюгові мости залишаються найчастіше експлуатованою поверхнею в DeFi, і цей напад демонструє, що навіть перевірена інфраструктура повідомлень, така як LayerZero, може бути використана як зброя через неправильну конфігурацію на рівні інтеграції. Злом Kelp показує, що група Lazarus з Північної Кореї розвивається за межі ізольованих хаків, швидко змінюючи тактику з соціальної інженерії на експлуатацію структурних вразливостей у криптоінфраструктурі, що свідчить про тривалу, державну кампанію, а не разові інциденти. Архітектура з кількома верифікаторами, резервовані RPC і незалежні аудити безпеки конфігурацій мостів вже не є найкращими практиками. Після 18 квітня 2026 року вони стали необхідністю для виживання.

#Gate13周年
#CreatorCarvinal
#KelpDAOBridgeHacked