🚨 #KelpDAOBridgeHacked — Катастрофа DeFi, яка потрясла безпеку міжланцюгових систем до самого ядра

Екосистема DeFi знову була потрясена високоефективним порушенням безпеки, оскільки інфраструктура міжланцюгового мосту KelpDAO була експлуатована під час одного з найсерйозніших атак 2026 року, що призвело до втрати приблизно 116 500 rsETH токенів, оцінених майже у $292–$300M мільйони.

Ця інцидент швидко став однією з визначальних подій у історії безпеки децентралізованих фінансів, не лише через масштаб, а й через те, що він розкриває про хрупкі основи міжланцюгової взаємодії.

На відміну від ізольованих помилок смарт-контрактів, цей експлойт виявив глибоку структурну слабкість у тому, як сучасні системи DeFi валідовують і передають цінність через блокчейни.

---

🔍 Анатомія експлойту — Як розгорівся напад

Злом був спрямований на архітектуру міжланцюгового мосту KelpDAO, зокрема шлях передачі rsETH, що з’єднує Unichain і основну мережу Ethereum. У центрі системи була залежність від стандарту повідомлень LayerZero OFT, розробленого для забезпечення безшовної взаємодії між ланцюгами.

Однак під цим, здавалося б, міцним дизайном ховалася критична вадa: конфігурація мережі децентралізованих верифікаторів $294 DVN(.

Це означало:

> Один верифікаторний вузол мав повноваження повністю схвалювати або відхиляти міжланцюгові повідомлення.

На практиці це створювало централізований вузол затримки, маскувавшись під децентралізацію.

---

⚡ Фаза 1: Цільова атака інфраструктури

Зловмисники почали з визначення слабких місць у офчейн-інфраструктурі:

Компрометація кількох RPC-нодів, що подають дані в систему

Впровадження шкідливих скриптів для маніпуляції валідацією повідомлень

Цілеспрямовані збої у здорових RPC-ендпоінтах

Це змусило систему перейти у деградований режим, де залишилися активними лише компрометовані потоки даних.

---

⚡ Фаза 2: Маніпуляція даними та захоплення верифікації

Після отримання контролю над входами даних зловмисники створили фальшиве середовище консенсусу:

Підроблені міжланцюгові транзакційні повідомлення

Впровадження фальшивих “дійсних” запитів на передачу

Подача пошкоджених даних безпосередньо до єдиного верифікатора

Без додаткового рівня перевірки система фактично почала довіряти атаці підконтрольним входам як легітимній блокчейн-комунікації.

---

⚡ Фаза 3: Виконання фальшивих міжланцюгових викликів

Компрометований верифікатор схвалив шкідливі виклики lzReceive)( на контракті EndpointV2 LayerZero.

Це призвело до:

Мінту 116 500 rsETH токенів без забезпечення

Негайного випуску активів у контрольовані зловмисником гаманці

Відсутності тригера перевірки забезпечення колатералу

На цьому етапі міст фактично був обманутий, створюючи цінність з повітря.

---

⚡ Фаза 4: Замітання слідів

Після виконання:

Компоненти шкідливого ПЗ самостійно видалилися

Логи були частково стерті або пошкоджені

Вектори атаки ставали важчими для відтворення у реальному часі

Зловмисники забезпечили максимальне затримання у кримінальній трасуванні перед переказом коштів через ланцюги.

---

💰 Пост-експлойтний рух — швидке мульти-ланцюгове відмивання

Всього за кілька хвилин після експлойту зловмисники почали агресивну стратегію розподілу ліквідності.

Вкрадені rsETH були:

Депоновані у провідні платформи DeFi для кредитування

Використані як забезпечення у кількох протоколах

Використані для позик понад )мільйонів у WETH

📊 Ключова експозиція протоколів:

Aave V3 & V4

Compound V3

Euler Finance

SparkLend

Fluid

Upshift

Стратегія була чіткою:

> Перетворити штучно вкрадені активи у реальний, ліквідний ETH, перш ніж захисти зможуть реагувати.

---

🔄 Міжланцюговий розподіл

Кошти швидко переказувалися і розподілялися між екосистемами:

Ethereum mainnet $236 ~(конвертовано$178M

Arbitrum )~(переміщено$72M

Додатковий фрагментований розподіл між Base, Linea, Blast та іншими мережами L2

Це створило сценарій мульти-ланцюгового забруднення, де вкрадена ліквідність ставала важкою для ізоляції або заморожування.

---

⚠️ Системний шок — ефекти поширення у DeFi

Негайний вплив не обмежувався лише KelpDAO. Навпаки, вся екосистема DeFi зазнала синхронізованого стресу ліквідності.

---

📉 Загальний обсяг заблокованих активів — колапс

За 48 годин:

Обсяг TVL у DeFi знизився на $13–)мільярдів

Ринки кредитування зазнали різких відтоків

Постачальники ліквідності почали зменшувати ризики у різних протоколах

---

🏦 Шок на ринку кредитування

Aave зазнав одного з найзначущих подій з ліквідністю:

Виведено $6–$8.45 мільярдів депозитів

Ринки rsETH заморожені у V3 та V4

Тимчасовий дисбаланс ліквідності у пулів застави

Інші платформи швидко реагували:

SparkLend припинив операції

Fluid і Euler обмежили експозицію

Upshift призупинив нові позики

---

🧊 Замороження ринкових настроїв

Психологічний вплив був миттєвим:

Загострилася тривога щодо міжланцюгових мостів

Інституційний капітал зменшив експозицію до LST деривативів

Роздрібні трейдери перейшли до стабількоінів

Моделі ризику у протоколах були переналаштовані за ніч

---

🛡️ Надзвичайний реагування — швидкий, але реактивний захист

KelpDAO відреагував за кілька хвилин, але шкода вже поширилася.

⏱️ Хронологія реагування:

18:21 UTC — основні контракти зупинені через мультиsig

~46 хвилин після виявлення початкового експлойту

Додаткові спроби атаки заблоковані $14 ~80 000 rsETH разом(

Між тим:

Aave заморозив уражені ринки

Lido призупинив депозити earnETH

Ethena тимчасово припинила роботу LayerZero мосту

Хоча локалізація була частково успішною, початкова фаза вилучення цінностей вже завершилася.

---

⚖️ Конфлікт атрибуції — хто винен?

Наслідки швидко перетворилися на суперечку між KelpDAO і LayerZero.

🧩 Позиція KelpDAO:

Заявляє, що стандартна конфігурація DVN була небезпечною

Заперечує, що документація недооцінювала реальні ризики

Підкреслює проєктну помилку у моделі верифікації

🧩 Позиція LayerZero:

Заявляє, що KelpDAO неправильно налаштував безпеку

Підкреслює відхилення від рекомендованих стандартів децентралізації

Вказує на відповідальність користувача у налаштуваннях

---

🕵️♂️ Віднесення до групи загроз

LayerZero та незалежні аналітики пов’язали атаку з:

> Групою Lazarus )кібероперації, пов’язані з Північною Кореєю(

Підтверджуючі індикатори включали:

Фінансування Tornado Cash перед виконанням

Відомі схеми відмивання, що відповідають попереднім експлойтам

Використання міжланцюгових технік обфускації у попередніх кампаніях

Однак повна атрибуція залишається під розслідуванням.

---

🧠 Структурна несправність — що насправді показує цей хак

Крім фінансових збитків, ця інцидент підкреслює глибоку архітектурну проблему у DeFi:

🔴 Проблема фальшивої децентралізації

Багато систем, позначених як “децентралізовані”, все ще залежать від:

Одиноких верифікаторних вузлів

Централізованих механізмів резерву

Слабкої редундантності у валідації повідомлень

Це створює приховані централізовані точки відмови.

---

🔴 Ризик складності міжланцюгових систем

З розширенням DeFi на мульти-ланцюги:

Обсяг атаки зростає експоненційно

Стандартизація валідації ускладнюється

Безпека руйнується під реальним навантаженням

---

🔴 Забруднення компонентів

Оскільки протоколи DeFi глибоко взаємопов’язані:

Один зламаний актив стає заставою в інших

Поганий борг поширюється між платформами

Ризик стає системним, а не ізольованим

---

📊 Наслідки для галузі

Експлуатація KelpDAO вже змінює дискусії щодо безпеки DeFi.

Очікувані зміни в галузі:

Обов’язковий дизайн мостів із кількома верифікаторами

Збільшення використання багатопідписних шарів валідації

Посилення систем моніторингу у реальному часі

Зменшення залежності від довіри до одного ланцюга

---

🔐 Еволюція аудиту безпеки

Аудити тепер мають розширюватися за межі:

Перевірки коду смарт-контрактів

Та включати повне моделювання міжланцюгової інфраструктури

---

🔮 Довгостроковий прогноз — майбутнє міжланцюгової безпеки

Цей інцидент, ймовірно, стане переломним у дизайні архітектури DeFi.

Можливі напрямки розвитку:

Повністю децентралізовані системи багатонодового верифікації

Мережі міжланцюгових повідомлень без довіри

Моделі валідації мостів на основі доказів у ланцюзі

Зменшення залежності від офчейн-агрегації RPC

Однак ці покращення потребуватимуть часу, капіталу та узгодження між екосистемами.

---

🚨 Останній висновок — системне попередження для DeFi

Подія )не просто хак — це провал структурного тесту на напругу самої міжланцюгової фінансової системи.

Вона демонструє, що:

Безпека залежить від найслабшого рівня верифікації

“Децентралізованість” не завжди означає “розподілений ризик безпеки”

Компонування може посилювати як інновації, так і системний колапс

---

🧭 Заключна перспектива

У світі децентралізованих фінансів найбільші ризики вже не полягають у ізольованих помилках смарт-контрактів — це архітектурні припущення, що руйнуються під час протидії.

Злом KelpDAO ймовірно стане не лише дослідженням безпеки, а й визначальним кейсом у тому, як міжланцюгові екосистеми можуть зруйнуватися, коли довіра зосереджена у прихованих шарах інфраструктури.

І у DeFi, як показав цей випадок:

> Міст часто є більш крихким, ніж ланцюг, до якого він підключений.