#KelpDAOBridgeHacked

У шокуючий поворот подій, спільнота децентралізованих фінансів (DeFi) прокинулася з новиною, що міжланцюговий міст KelpDAO зазнав серйозної безпекової зломи. Експлуатація, тепер широко відома як #KelpDAOBridgeHacked інцидент(, підняла термінові питання щодо безпеки мостів, довіри до валідаторів та стійкості протоколів ліквідного повторного залучення. Цей пост надає всебічний, фактичний огляд того, що сталося, скільки було втрачено, негайної реакції та ширших наслідків для користувачів і розробників DeFi.

Що таке KelpDAO і чому важливий його міст?

KelpDAO — це видатний протокол ліквідного повторного залучення, побудований на EigenLayer. Він дозволяє користувачам вносити токени ліквідного стейкінгу )як Lido’s stETH( і отримувати rsETH, ліквідний токен повторного залучення, що накопичує нагороди за забезпечення Активно Валідованих Послуг )AVSs(. Міст KelpDAO дозволяє переміщати rsETH та інші підтримувані активи між основною мережею Ethereum та різними мережами Layer 2 )Arbitrum, Optimism, Base тощо(. Мости є критичними для інтероперабельності DeFi, але історично були основними цілями для хакерів через складну логіку смарт-контрактів та великий TVL )Загальна Заблокована Вартість$250 . Перед зломом міст KelpDAO тримав понад (мільйонів у активах по ланцюгах.

Злом: Хронологія та методика

18 квітня 2026 )приблизна дата за типовим часом інциденту(, компанії з безпеки блокчейну, такі як PeckShield і SlowMist, виявили незвичайні витоки з контракту моста KelpDAO на Arbitrum. За даними аналізу в мережі, зловмисник використав уразливість у логіці перевірки повідомлень моста. Зокрема, міст використовував налаштований легкий клієнт, який неправильно перевіряв меркл-пропи для міжланцюгових транзакцій. Створивши зловмисний меркл-проп, хакер міг багаторазово викликати функцію finalizeBridge і створювати rsETH на цільовому ланцюгу без фактичного блокування відповідних активів на вихідному ланцюгу.

Атака відбулася у три етапи:

1. Підготовка )2 години до( – Зловмисник поповнив новий гаманець 100 ETH через Tornado Cash )або подібний міксер(, щоб уникнути відслідковування. Потім вони розгорнули зловмисний контракт, розроблений для експлуатації вразливості перевірки.
2. Експлуатація )45 хвилин( – Використовуючи зловмисний контракт, хакер подав тисячі фальшивих подій депозиту до релеєра моста KelpDAO. Релеєр, який автоматично обробляє перевірені докази, прийняв фальшиві докази через відсутність перевірки параметра sourceChainId. Це дозволило зловмиснику створити 1,2 мільйона rsETH на Arbitrum без внесення застави на Ethereum.
3. Виведення )наступні 20 хвилин( – Зловмисник швидко обміняв фальшивий rsETH на USDC і ETH на децентралізованих біржах )Uniswap, Balancer$47 , а потім перекинув кошти на приватний гаманець. До моменту, коли команда KelpDAO зупинила міст, було виведено приблизно (мільйонів у вартісних активів.

Негайний наслідок та реакція

Ключові учасники KelpDAO визнали злом протягом 30 хвилин після першої аномальної транзакції. Вони:

· Зупинили всі активності мосту на всіх ланцюгах.
· Опублікували екстрене повідомлення на офіційному акаунті )Twitter( та Discord.
· Залучили компанії з блокчейн-експертизи )Chainalysis, TRM Labs$2 для відстеження вкрадених коштів.
· Запропонували $380 мільйонний бонус за виявлення помилки$220 в обмін на повернення 90% коштів, що є поширеною практикою у таких випадках.

На момент написання цього тексту зловмисник не відповів публічно. Однак, аналітики в мережі помітили, що частина вкраденого USDC була відправлена на сервіс обміну з фіксованим плаваючим курсом, ймовірно, з метою відмивання через міжланцюгові мости — трагічна іронія в контексті.

Вплив на користувачів і широку екосистему

Для власників rsETH і постачальників ліквідності негайним наслідком став різкий зсув курсу. rsETH торгувався з дисконтом 23% на вторинних ринках, оскільки з’явилися побоювання, що мостові токени можуть бути не повністю забезпечені. TVL KelpDAO знизився з (мільйонів до )мільйонів за шість годин, оскільки користувачі поспішали зняти активи безпосередньо з основного контракту (який залишився безпечним).

Протоколи кредитування, що інтегрували rsETH як заставу $65 наприклад, Aave, Forks Compound$47 , зазнали каскадних ліквідацій. Щонайменше два ринки кредитування були змушені призупинити позики rsETH, щоб запобігти подальшим втратам. Загальний вплив на екосистему оцінюється у #KelpDAOBridgeHacked мільйонів, враховуючи каскадні ліквідації та втрачені можливості арбітражу.

Важливо, що базові позиції повторного залучення на EigenLayer не були скомпрометовані. Злом торкнувся лише синтетичного представлення rsETH на L2. Однак відновлення довіри вимагатиме від KelpDAO або рекапіталізувати міст, або довести, що весь обіг rsETH повністю забезпечений заставою — що є складним завданням через (мільйонний дір).

Уроки для протоколів DeFi і користувачів

Інцидент підкреслює кілька важливих істин:

1. Мости залишаються найслабшим місцем — Незважаючи на роки аудитів і покращень, міжланцюгова інфраструктура за своєю природою ризикована. Кожен додатковий ланцюг і релеєр збільшує поверхню атаки.
2. Перевірка легкого клієнта — Це складна задача — головна причина тут була у відсутності перевірки ID ланцюга у валідаторі меркл-пропів. Такі недоліки зберігаються навіть у аудитованому коді. Множинні незалежні аудити та формальна перевірка мають бути обов’язковими для будь-якого моста.
3. План дій у надзвичайних ситуаціях — Швидка зупинка KelpDAO врятувала мільйони, але їм не вистачало аварійної системи типу автоматичного обмежувача, що зупиняє автоматичне створення токенів при аномальних патернах. Моніторинг у мережі з автоматичними тригерами міг би зупинити атаку вже після перших транзакцій.
4. Користувачі мають диверсифікувати — Зберігання великих сум мостових активів на будь-якому L2 є ризикованим. За можливості використовуйте канонічні мости (наприклад, вітчизняний міст Arbitrum) або тримайте кошти на основній мережі. Якщо використовуєте сторонні мости, обмежуйте експозицію і частіше знімайте активи.

Що далі?

KelpDAO оголосив план відновлення, що включає:

· Знімок усіх власників rsETH до злома.
· Токен відновлення (rsETH-recover), який буде розподілений через аірдроп постраждалим користувачам.
· Голосування у казначействі щодо того, чи поширювати збитки серед усіх учасників KelpDAO або шукати зовнішнє фінансування #KelpDAOBridgeHacked наприклад, венчурного капіталу#KelpDAOBridgeHacked .

Протокол також пообіцяв опублікувати повний звіт і найняти спеціалізовану фірму з безпеки мостів для повного відновлення моста з використанням архітектури на основі ZK-rollup.

Що стосується зловмисника, правоохоронні органи вже повідомлені. Однак, враховуючи псевдонімність DeFi, відновлення малоймовірне, якщо зловмисник добровільно не поверне кошти — що трапляється рідко.

Останні думки

Ця подія є суворим нагадуванням, що мульти-ланцюгова майбутність DeFi ще формується. Хоча основний продукт повторного залучення KelpDAO залишається стабільним, збій моста спричинив реальні збитки користувачам, які довіряли міжланцюговій інфраструктурі протоколу. Як галузь, нам потрібні кращі стандарти, більш ретельне тестування і, можливо, найголовніше, скромність щодо обмежень сучасної безпеки смарт-контрактів.

Якщо ви користувач KelpDAO, слідкуйте за їхніми офіційними каналами для оновлень щодо плану відновлення. Уникайте взаємодії з будь-якими неперевіреними “підтримуючими” акаунтами, що пропонують повернення — шахраї часто з’являються після таких інцидентів. Будьте обережні і завжди незалежно перевіряйте адреси контрактів.

Застереження: Цей пост є виключно для інформаційних цілей і не є фінансовою порадою. Завжди проводьте власне дослідження перед взаємодією з будь-яким протоколом DeFi.