#KelpDAOBridgeHacked

Взлом моста KELPDAO: $292 миллионный межцепочечный катаклизм, раскрывающий ахиллесову пяту DeFi

Представьте, что вы просыпаете в субботу днем и обнаруживаете, что почти $300 миллион исчез в никуда — не из-за сложной уязвимости смарт-контракта, а из-за простого сообщения, которое лживо утверждало обратное. Именно это произошло 18 апреля 2026 года, когда межцепочечный мост KelpDAO стал жертвой крупнейшего взлома DeFi за год, при котором злоумышленники вывели 116 500 rsETH на сумму примерно $292 миллион всего за 46 минут, вызвав потрясение всей экосистемы децентрализованных финансов и оставив обернутый эфир в замороженном состоянии на 20 различных блокчейнах. Атака была не просто сложной — она была хирургической. Исполнители, позднее приписываемые печально известной группе Lazarus из Северной Кореи, потратили 8–10 часов на подготовку семи новых кошельков, финансируемых через Tornado Cash, подготовив почву для мастер-класса по межцепочечной эксплуатации. В примерно 17:35 по UTC они нанесли удар по мосту KelpDAO, основанному на LayerZero, который полагался на опасно централизованную конфигурацию1 из 1 DVN (Децентрализованной сети проверяющих) — единственную точку отказа, которую злоумышленники явно идентифицировали как точку входа. Взломав два RPC-узла LayerZero и DDoS-атакой на третий, чтобы принудительно переключить работу на их зараженную инфраструктуру, хакеры внедрили поддельные межцепочечные сообщения, которые обманули мост, заставив его поверить, что легитимные сжигания произошли на исходных цепочках, что привело к тому, что контракт выпустил неподдерживаемый rsETH прямо из резервов Ethereum в кошельки, контролируемые злоумышленниками. Гениальность этого взлома заключалась не в взломе кода, а в манипуляции доверительными предположениями, от которых зависела вся архитектура межцепочечной связи — всего за шесть минут после первоначального вывода украденный rsETH уже проходил отмывание по всему ландшафту DeFi, депонировался в качестве залога на Aave V3 и V4, Compound, Euler и Morpho для заимствования примерно $236 миллиона ETH и WETH, пока никто не успел среагировать. Распространение было мгновенным и жестким: Aave заморозил свои рынки rsETH в течение нескольких часов, оценив потенциальные плохие долги в диапазоне от $123 миллиона до $230 миллиона, в то время как токен AAVE рухнул на 23%, а основные рынки достигли 100% загрузки, поскольку панические пользователи спешили вывести средства. Но настоящая история здесь — не только кража, а игра в обвинения, когда LayerZero настаивал, что их протокол не содержит ошибок, указывая пальцем на конфигурацию1 из 1 DVN KelpDAO как на виновника, в то время как KelpDAO ответил, что конфигурация1 из 1 — стандартная настройка LayerZero с января 2024 года, и их собственная RPC-инфраструктура была скомпрометирована, отметив, что примерно 40% протоколов используют подобные конфигурации без предварительных предупреждений о уязвимостях. Данные рассказывают пугающую историю: аналитика Dune показала, что 47% из примерно 2665 приложений LayerZero используют конфигурации1 из 1, что означает, что тысячи протоколов могут находиться на подобных временных бомбах. Последствия вышли далеко за пределы KelpDAO: за две недели TVL DeFi потерял более $600 миллиона, а за 48 часов после инцидента из Ethereum и L2-решений утекает от $8 до $10 миллиардов, поскольку криптосообщество столкнулось с неприятной правдой — межцепочечные мосты остаются самым слабым звеном DeFi, не из-за ошибок смарт-контрактов, а из-за инфраструктурных рисков, таких как отравление RPC, о которых большинство пользователей никогда не задумывается. Этот взлом представляет собой сдвиг парадигмы в вопросах безопасности мостов: это был не кодовый эксплойт, а сбой операционной безопасности, напоминание о том, что в мире межцепочечной совместимости слой проверки сообщений является только таким же сильным, как его самый централизованный компонент. Методология группы Lazarus здесь напоминает их предыдущие криптовзломы, объединяя терпеливое проникновение, манипуляцию доверием и подавление обнаружения в разрушительный комплекс, который обошел все традиционные предположения о безопасности. Для обычных пользователей DeFi уроки ясны и немедленны: когда вы переносите активы между цепочками, вы доверяете не только смарт-контракту — вы доверяете всей инфраструктуре проверки, RPC-узлам, конфигурациям DVN и операционной безопасности каждого компонента этой цепочки. Ответ KelpDAO включал приостановку контрактов, черный список злоумышленников и блокировку дополнительных $95 миллионов в последующих выводах, но ущерб доверию уже нанесен. Пока индустрия борется с этим тревожным сигналом, ускорился переход к многоуровневым конфигурациям DVN и диверсифицированным сетям проверки, при этом LayerZero объявила о полном прекращении поддержки конфигураций1 из 1. Но более широкий вопрос остается без ответа: если почти половина всех приложений LayerZero используют уязвимые конфигурации, сколько еще KelpDAO ждут подобные атаки? Вопрос в том, что не только о восстановлении украденных средств — речь идет о том, сможет ли DeFi пройти стадию инфраструктурной зрелости до того, как следующая Lazarus Group постучится в дверь.