#KelpDAOBridgeHacked

В шокирующем повороте событий сообщество децентрализованных финансов (DeFi) проснулось с новостью о том, что кросс-чейн мост KelpDAO подвергся серьезной уязвимости. Эксплуатация, теперь широко известная как #KelpDAOBridgeHacked инцидент(, вызвала срочные вопросы о безопасности мостов, доверии к валидаторам и устойчивости протоколов ликвидного повторного залога. В этом посте представлен всесторонний, фактический обзор произошедшего, потерь, немедленных мер и более широких последствий для пользователей и разработчиков DeFi.

Что такое KelpDAO и почему важен его мост?

KelpDAO — известный протокол ликвидного повторного залога, построенный на EigenLayer. Он позволяет пользователям вносить ликвидные токены стейкинга )например, stETH от Lido( и получать rsETH, ликвидный токен повторного залога, который накапливает награды за обеспечение Активно Валидируемых Сервисов )AVSs(. Мост KelpDAO позволяет перемещать rsETH и другие поддерживаемые активы между основным Ethereum и различными сетями Layer 2 )Arbitrum, Optimism, Base и др.(. Мосты критически важны для интероперабельности DeFi, но исторически являлись главными целями хакеров из-за сложной логики смарт-контрактов и большого общего заблокированного объема )TVL$250 . Перед взломом мост KelpDAO хранил более (миллиона долларов в активах по цепочкам.

Хак: хронология и методика

18 апреля 2026 )примерная дата, основанная на типичных сроках инцидентов(, компании по безопасности блокчейнов, такие как PeckShield и SlowMist, обнаружили необычные исходящие транзакции с контракта моста KelpDAO на Arbitrum. Согласно анализу на блокчейне, злоумышленник использовал уязвимость в логике проверки сообщений моста. Конкретно, мост использовал пользовательский легкий клиент, который неправильно проверял меркл-примеры для межцепочечных транзакций. Создав вредоносный меркл-пример, хакер смог многократно вызывать функцию finalizeBridge и чеканить rsETH на целевой цепочке, не блокируя при этом эквивалентные активы на исходной цепочке.

Атака прошла в три этапа:

1. Подготовка )за 2 часа до( – Злоумышленник пополнил новый кошелек 100 ETH через Tornado Cash )или подобный миксер(, чтобы избежать отслеживания. Затем он развернул вредоносный контракт, предназначенный для эксплуатации уязвимости в проверке.
2. Эксплуатация )45 минут( – Используя вредоносный контракт, хакер отправил тысячи фальшивых событий депозита в релей моста KelpDAO. Релей, который автоматически обрабатывает проверенные доказательства, принял мошеннические доказательства из-за отсутствия проверки параметра sourceChainId. Это позволило злоумышленнику чеканить 1,2 миллиона rsETH на Arbitrum без внесения залога на Ethereum.
3. Вывод средств )следующие 20 минут( – Злоумышленник быстро обменял фальшивый rsETH на USDC и ETH на децентрализованных биржах )Uniswap, Balancer$47 , а затем перевел средства на приватный кошелек. К моменту, когда команда KelpDAO остановила мост, было выведено примерно (миллион долларов в активах.

Немедленные последствия и реакция

Ключевые участники KelpDAO признали взлом в течение 30 минут после первой аномальной транзакции. Они:

· Остановили все операции моста на всех цепочках.
· Опубликовали экстренное объявление в своем официальном аккаунте )Twitter( и Discord.
· Обратились к фирмам по блокчейн-экспертизе )Chainalysis, TRM Labs$2 для отслеживания украденных средств.
· Предложили $380 миллионный багбаунти злоумышленнику в обмен на возврат 90% средств, как это обычно бывает в подобных случаях.

На момент написания злоумышленник не ответил публично. Однако аналитики заметили, что часть украденного USDC была отправлена на сервис обмена с фиксированным плавающим курсом, вероятно, с целью отмывки через кросс-чейн мосты — трагическая ирония в контексте.

Влияние на пользователей и экосистему

Для держателей rsETH и поставщиков ликвидности немедленным последствием стал резкий спад курса. rsETH торговался с дисконтом 23% на вторичных рынках, поскольку распространялся страх, что токены, переданные через мост, могут быть не полностью обеспечены. TVL KelpDAO снизился с $220 миллиона до (миллиона за шесть часов, поскольку пользователи спешили вывести активы напрямую с основного контракта )который оставался безопасным(.

Протоколы кредитования, интегрировавшие rsETH в качестве залога )например, Aave, форки Compound$65 , столкнулись с каскадными ликвидациями. Как минимум два рынка кредитования приостановили заимствование rsETH, чтобы предотвратить дальнейшие потери. Общий ущерб по всей экосистеме оценивается в $47 миллион, включая каскадные ликвидации и упущенные возможности арбитража.

Важно отметить, что базовые позиции повторного залога на EigenLayer не были скомпрометированы. Взлом затронул только синтетическое представление rsETH на L2. Однако восстановление доверия потребует, чтобы KelpDAO либо рекапитализировал мост, либо доказал, что весь циркулирующий rsETH полностью обеспечен залогом — задача сложная при таком размере убытка в #KelpDAOBridgeHacked миллион.

Уроки для протоколов DeFi и пользователей

Инцидент подчеркивает несколько жестких истин:

1. Мосты остаются самым слабым звеном — несмотря на годы аудитов и улучшений, инфраструктура кросс-чейн по своей природе рискованна. Каждая дополнительная цепочка и релей увеличивают поверхность атаки.
2. Проверка легкого клиента — причина здесь в отсутствии проверки ID цепочки в валидаторе меркл-примера. Такие упущения сохраняются даже в аудитируемом коде. Множественные независимые аудиты и формальная проверка должны быть обязательными для любого моста.
3. План реагирования в чрезвычайных ситуациях — быстрое приостановление KelpDAO спасло миллионы, но у них не было аварийной защиты вроде автоматического отключателя, который бы останавливал аномальные паттерны чеканки. Мониторинг на блокчейне с автоматическими триггерами мог бы остановить атаку после первых транзакций.
4. Пользователи должны диверсифицировать — хранение больших объемов активов через мосты на любой L2 рискованно. Где возможно, используйте канонические мосты (например, нативный мост Arbitrum) или держите средства на основном цепочке. Если используете сторонние мосты, ограничивайте экспозицию и регулярно выводите средства.

Что будет дальше?

KelpDAO объявил план восстановления, включающий:

· Снимок всех держателей rsETH до взлома.
· Токен восстановления (rsETH-recover), который будет раздавать пострадавшим пользователям.
· Голосование в казначействе о том, стоит ли делить убытки между всеми участниками KelpDAO или искать внешнее финансирование (например, венчурный капитал).

Протокол также пообещал опубликовать полный постмортем и нанять специализированную фирму по безопасности мостов для полного восстановления моста с использованием архитектуры на базе ZK-rollup.

Что касается злоумышленника, правоохранительные органы были уведомлены. Однако, учитывая псевдонимность DeFi, восстановление маловероятно, если злоумышленник добровольно не вернет средства — что случается редко.

Заключительные мысли

Этот #KelpDAOBridgeHacked событие#KelpDAOBridgeHacked — суровое напоминание о том, что мультицепочечное будущее DeFi все еще формируется. Хотя основная идея повторного залога KelpDAO остается надежной, сбой моста нанес реальный ущерб пользователям, доверявшим инфраструктуре протокола. В индустрии нужны лучшие стандарты, более строгие тесты и, возможно, самое важное — скромность в отношении ограничений текущей безопасности смарт-контрактов.

Если вы пользователь KelpDAO, следите за их официальными каналами для обновлений по плану восстановления. Избегайте взаимодействия с любыми непроверенными аккаунтами «поддержки», обещающими возврат средств — мошенники часто появляются после таких инцидентов. Будьте осторожны и всегда проверяйте адреса контрактов самостоятельно.

Отказ от ответственности: Этот пост предназначен только для информационных целей и не является финансовым советом. Всегда проводите собственное исследование перед взаимодействием с любым протоколом DeFi.