#KelpDAOBridgeHacked

Злом моста KelpDAO: Технічний аналіз та вплив на індустрію

18 квітня 2026 року міст rsETH між ланцюгами KelpDAO зазнав найбільшого злому DeFi у 2026 році, внаслідок якого зловмисники вивели приблизно 116 500 rsETH, оцінюваних приблизно у $292 мільйонів. Інцидент становить близько 18% від загального обігу rsETH і спричинив каскадні ефекти у всій екосистемі DeFi.

Аналіз вектору атаки

Злом був здійснений за допомогою складної багатоступеневої атаки, спрямованої на інфраструктуру LayerZero. Зловмисники спочатку зламали два незалежні RPC-ноді, керовані LayerZero Labs, замінивши легітимні бінарні файли op-geth на шкідливі версії. Ці заражені ноди були спеціально налаштовані для обману мережі децентралізованих перевіряльних вузлів LayerZero (DVN), при цьому зберігаючи правдиві відповіді для інших систем моніторингу, ефективно уникаючи виявлення.

Послідовність атаки включала скоординований DDoS-удар по третьому чистому RPC-ноді, що змусило DVN перейти на зламану інфраструктуру. Конфігурація моста KelpDAO використовувала схему 1 з 1 DVN, тобто для підтвердження міжланцюгових повідомлень потрібен був лише DVN LayerZero Labs. Заражені ноди успішно підтвердили сфабриковану транзакцію спалювання на Unichain, яку relay-система EndpointV2 передала до OFT-адаптера KelpDAO, що спричинило несанкціонований випуск резервів основної мережі.

Після зламу зловмисник систематично відмивав викрадені rsETH через кілька гаманців, депонуючи кошти як заставу на ринках Aave V3 у мережах Ethereum та Arbitrum. Зловмисник отримав приблизно 75 700 WETH в Ethereum та 30 800 WETH в Arbitrum, досягнувши коефіцієнта позики до вартості близько 99%, перш ніж протокол зупинив подальше позичання.

Атрибуція та профіль зловмисника

Фахівці з безпеки та аналітики блокчейну приписують атаку групі Lazarus з Північної Кореї, зокрема кластеру TraderTraitor. Характеристики операцій відповідають задокументованим методам Lazarus: терплячі тактики вторгнення, маніпуляції з довіреною інфраструктурою та складні механізми пригнічення виявлення. Зловмисне програмне забезпечення після зламу самостійно знищило себе, систематично стираючи сліди слідчих доказів з компрометованих систем.

Реакція протоколу та обмеження

Aave відповів протягом кількох годин, заморозивши ринки rsETH у версіях V3 та V4, включно з інтеграцією SparkLend. На даний момент протокол має приблизно $177 мільйонів у поганому боргу, переважно зосередженого в Arbitrum. Загальна заблокована вартість у екосистемі Aave знизилася з $26 мільярдів до $18 мільярдів, що становить виведення капіталу на суму від 8 до 14 мільярдів доларів.

Поширення інциденту вийшло за межі Aave: понад 15 протоколів запровадили екстрені паузи мостів. Пули WETH зазнали 100% використання, що створює додаткові ризики ліквідації для позичальників з підвищеним плечем. KelpDAO заблокував адреси зловмисників і стверджує, що запобіг ще одному $95 мільйону у спробах подальших атак.

Спірний аналіз кореневої причини

Має місце суттєвий спір між KelpDAO та LayerZero щодо основної відповідальності. LayerZero стверджує, що конфігурація 1 з 1 DVN у KelpDAO відхиляється від рекомендованих практик безпеки, наголошуючи, що сам протокол не містив вразливостей і що інцидент був ізольований до інфраструктури rsETH. LayerZero пізніше виправив уразливі системи DVN та RPC.

KelpDAO заперечує, що стандартна документація та швидкий старт LayerZero рекомендували схему 1 з 1, і стверджує, що відповідальність за безпеку RPC-нод лежить на провайдері інфраструктури. Обидві сторони погоджуються, що уразливості смарт-контрактів не були використані; корінь проблеми — у довірчих припущеннях щодо одноточкових відмов.

Вплив на безпеку DeFi

Інцидент виявляє критичні вразливості у архітектурі міжланцюгових мостів, зокрема щодо безпеки RPC-інфраструктури. RPC-ноді стали системним слабким місцем, оскільки більшість протоколів покладаються на обмежену кількість провайдерів без достатньої диверсифікації відмов. Злом демонструє, що навіть складні системи багатопідпису та верифікації можна зламати, якщо джерела даних зламані.

Аналітики рекомендують негайно впровадити конфігурації з кількома DVN, диверсифіковані мережі RPC-провайдерів та системи аудиту конфігурацій у реальному часі. Модульна архітектура безпеки LayerZero обмежила радіус ураження саме rsETH, без впливу інших OFT або OApp контрактів, що свідчить про здатність системи зберігати стійкість навіть під час цілеспрямованих атак на інфраструктуру.

Поточний стан та зусилля з відновлення

Голосування в Aave наразі обговорює механізми соціалізації боргу для вирішення ситуації з поганим боргом. KelpDAO, LayerZero та Aave створили канали координації для операцій відновлення. Колектив безпеки блокчейну Seal-911 активно відслідковує рухи коштів, частина викрадених активів проходить через Tornado Cash та інші протоколи маскування. Канали переговорів з хакерами залишаються відкритими, хоча підтверджень відновлення станом на час написання немає.

Злом встановлює новий рекорд для DeFi-хаків 2026 року, перевищуючи інцидент з Drift Protocol на суму $285 мільйонів від 1 квітня. Інцидент підсилює постійні побоювання щодо безпеки мостів як основного вектору атак у DeFi, а міжланцюгова інфраструктура залишається найгарячішою точкою безпеки в екосистемі.

#KelpDAO #DeFiSecurity #BridgeExploit #CryptoNews