KelpDAO был взломан, что повлияло на всю индустрию DeFi, как решить проблему огромных плохих долгов?

Редактор | У Шо Цзюаньь

18 апреля активы rsETH跨链 KelpDAO подверглись масштабной атаке, потеряв около 290 миллионов долларов (примерно 116 500 rsETH, что составляет 18% от циркулирующего предложения). В последнем заявлении LayerZero Labs предварительно связали эту атаку с группой Lazarus из Северной Кореи (также известной как TraderTraitor). Злоумышленники загрязнили RPC-узлы LayerZero DVN, расположенные в цепочке, и с помощью DDoS-атаки вызвали сбой перенаправления, что привело к подтверждению DVN о «непроизошедшей транзакции», и тем самым подделали межцепочечные сообщения.

Хотя это событие не было напрямую нацелено на сам протокол Aave, оно вызвало редкий системный удар по ликвидности в истории DeFi. TVL Aave за 48 часов упал примерно на 8,45 миллиарда долларов (последние показатели снизились примерно на 8–9,5 миллиарда долларов), общий TVL DeFi по всей цепочке сократился с 994,97 миллиарда долларов до 862,86 миллиарда долларов, что составляет исчезновение 132,1 миллиарда долларов. Инцидент быстро распространился с цепочек EVM на Solana, где ставки по USDC в протоколах кредитования Kamino и других достигли 100%, и индустрия DeFi вошла в режим «тестирования на прочность».

Официальное заявление LayerZero: отказ в единственной точке, не уязвимость протокола

LayerZero Labs 20 апреля опубликовала подробное объяснение, подтвердив, что атака была точечной и нацеленной на конфигурацию 1/1 DVN, используемую KelpDAO (полностью полагавшуюся на одного валидатора LayerZero Labs), что отклоняется от их обычной рекомендации по использованию много-DVN с избыточностью. Злоумышленники с помощью отравления, двоичной замены и DDoS-атаки вызвали подтверждение DVN о «непроизошедшей транзакции», но не использовали уязвимости протокола или ключей. Влияние ограничено rsETH, не распространилось на другие активы OApp/OFT. LayerZero полностью отказалась от пострадавших RPC и заменила их, восстановила работу DVN и призвала все проекты с конфигурацией 1/1 как можно скорее перейти на много-DVN. Также ведется международное преследование злоумышленников.

Однако, главный разработчик Yearn Finance banteg выразил явное несогласие с этим описанием. Он отметил, что квалификация события как «RPC poisoning» (отравление RPC) некорректна и вводит в заблуждение. В классической сетевой атаке RPC poisoning предполагает вмешательство злоумышленника за пределами доверенной границы, например, изменение DNS, ARP или кеша, и получатель не подозревает источник. Но в данном случае злоумышленник проник внутрь доверенной границы LayerZero, получил доступ к спискам RPC, взломал два узла, на которых зависит DVN, и заменил бинарный файл op-geth. Это ближе к внутреннему инфраструктурному взлому или атаке цепочки поставок, а не к внешней сети. Banteg считает, что такое описание недооценивает серьезность атаки и рекомендует не восстанавливать межцепочечные мосты до выяснения конкретных уязвимостей.

Aave на передовой: около 200 миллионов долларов просроченных кредитов + ликвидность под давлением

После атаки злоумышленники использовали украденный rsETH в качестве залога для займа ETH на Aave, что привело к просрочке примерно на 195–216 миллионов долларов, которые не могут быть возвращены через обычную ликвидацию. В нескольких рынках Aave V3 показатель использования ETH достиг 100%, вызвав массовый вывод средств — один из них, Justin Sun, вывел около 65 500 ETH. По данным DeFiLlama, за последние два дня TVL Aave сократился более чем на 8 миллиардов долларов, и паника охватила рынок.

Руководитель стратегии Spark monetsupply.eth отметил, что еще в январе Spark убрала активы с низким использованием, такие как rsETH, и ужесточила список залоговых активов. Несмотря на краткосрочные потери, эта осторожная стратегия оказалась эффективной: рынок ETH SparkLend по-прежнему обладает достаточной ликвидностью, а на мультичейн-платформах Aave возникла нехватка ликвидности.

Как решить огромные просроченные кредиты? Три возможных пути

Соучредитель DeFiLlama 0xngmi проанализировал, что KelpDAO стоит перед тремя основными сценариями решения:

1. Распределение убытков между всеми пользователями: примерно 18,5% списания, что составляет около 216 миллионов долларов просроченных кредитов. Из них Umbrella ETH может покрыть около 55 миллионов долларов, резерв Aave — примерно 85 миллионов долларов, а оставшийся дефицит около 76 миллионов долларов можно покрыть за счет займа или продажи активов резервного фонда на сумму около 51 миллиона долларов в AAVE.

2. Концентрация убытков на держателях rsETH на L2: возможные убытки около 341 миллиона долларов, которые не покрываются Umbrella.

3. Возмещение по снимкам до атаки: из-за значительных движений средств и использования пуловой структуры протокола выполнение таких компенсаций затруднено. Даже после покрытия Umbrella возможен остаток убытков около 91 миллиона долларов.

Основатель OneKey Yishi заявил, что оптимальный вариант — «вести переговоры с хакерами и предложить вознаграждение в размере 10–15%», а в случае неудачи — основные потери возьмет на себя экосистема LayerZero. KelpDAO, как «самая слабая сторона», может компенсировать убытки за счет токенов или будущих доходов, или рассмотреть продажу всей позиции LayerZero (L0) или BMNR. Последней линией защиты выступают Umbrella и stkAAVE, но он также предупредил, что держатели WETH не должны терпеть списания, иначе протоколы Morpho, Spark, Fluid, Euler и другие могут переоценить риски, а доверие к сектору LRT в целом пострадает.

В настоящее время модуль безопасности Aave Umbrella сталкивается с первым настоящим стресс-тестом, и возможность полностью покрыть дефицит остается под вопросом.

Фокус на позиции Ethereum Foundation, потеря доверия в отрасли

Аналитик DeFi Ignas отметил, что у Ethereum Foundation (EF) на основном сетевом рынке Aave есть активы примерно на 48 миллионов долларов. Если основной рынок не понесет списаний, это повысит безопасность позиций EF. Ранее EF избегала участия в DeFi, а недавно начала инвестировать в «низкорискованные DeFi», и это событие может повлиять на их дальнейшие решения.

В более широком контексте инцидент вызвал отраслевые размышления о рисках доверия к внешним залогам LST/LRT, о потенциальных уязвимостях цепочек мостов и о ликвидностных механизмах DeFi в условиях экстремального давления. На Solana, например, использование USDC в Kamino Prime Market достигло 100%, а в нескольких Vault — более 95%, что свидетельствует о массовом уходе капитала за пределы цепочки.

Взросление DeFi или поворотный момент?

Это не уязвимость кода Aave, а системная цепная реакция, вызванная «ошибочным доверием к залоговым активам». Как отмечают аналитики, конфигурация KelpDAO 1/1 DVN и чрезмерная зависимость протоколов от внешних залогов — это отражение коллективных рисков.

LayerZero подчеркивает, что «модульная архитектура безопасности уже изолировала влияние», но отрасль все еще нуждается в более строгих механизмах допуска активов, обязательных стандартов multi-DVN и более эффективных механизмов распределения просроченных кредитов.

Сможет ли Aave пройти этот тест с помощью Umbrella, станет важным ориентиром для устойчивости DeFi. В краткосрочной перспективе поток TVL и паника могут сохраняться; в среднесрочной и долгосрочной — если убытки удастся управлять и протоколы будут обновлены, это событие может стать важной вехой в управлении рисками. В противном случае, как опасается Yishi, сектор LRT и вся DeFi могут потребовать гораздо больше времени для восстановления доверия.