Рада безпеки Arbitrum заморозила 71 мільйон USDT у хакерському ETH, пов’язаному з експлуатацією KelpDAO

#ArbitrumFreezesKelpDAOHackerETH

Рада безпеки Arbitrum здійснила безпрецедентне надзвичайне втручання, заморозивши 30 766 ETH на суму приблизно 71 мільйон USDT, пов’язаних із експлуатацією KelpDAO, що сталася 18 квітня 2026 року. Ця рішуча дія є однією з найбільших заморожувань коштів у історії DeFi і позначає важливий розвиток у реагуванні на атаку на міст rsETH на 292 мільйони USDT, яка спричинила хвилі у екосистемі Ethereum Layer 2.

Передумови експлуатації: атака на міст KelpDAO

Перший випадок експлуатації був спрямований на міст rsETH, що працював на базі LayerZero, у рамках атаки 18 квітня 2026 року, внаслідок якої було втрачено близько 292 мільйонів USDT. Зловмисник здійснив складну операцію, створивши непідтверджені токени rsETH і потім вивів понад 200 мільйонів USDT у реальному WETH із протоколів кредитування Aave, перш ніж ринки змогли застосувати захисні заморожування.

Методика атаки використовувала вразливості у інфраструктурі міжланцюгових мостів, коли зловмисник депонував фальшивий rsETH як заставу на ринках Aave V3 і V4 як на основному мережевому Ethereum, так і в Arbitrum. Зокрема, зловмисник позичив 52 834 WETH на Ethereum і 29 782 WETH разом із 821 wstETH на Arbitrum, залишивши Aave з боргом у діапазоні від 124 до 230 мільйонів USDT за моделями протоколу.

Розслідування безпеки приписують атаку групі Lazarus з Північної Кореї, яка націлилася на інфраструктуру LayerZero Labs DVN, шляхом отруєння RPC-нодів, що обробляють запити. Зловмисник зламав два незалежних RPC-нодів, що працювали у різних кластерах, що дозволило маніпулювати процесами валідації мосту без прямого з’єднання між зламаними системами.

Надзвичайне реагування Arbitrum

Рада безпеки Arbitrum діяла 21 квітня 2026 року, застосувавши екстрені технічні заходи для заморожування 30 766 ETH, що зберігалися на адресі зловмисника в мережі Arbitrum One. Це втручання перевело кошти на проміжний гаманець, контрольований механізмами управління, запобігаючи доступ або перекази зловмисника до конфіскованих активів.

Ключовим у цій дії було узгодження з правоохоронними органами щодо ідентичності та attribution зловмисника. Рада безпеки підкреслила, що заморожування було здійснено без впливу на інших користувачів або застосунки Arbitrum, зберігаючи цілісність мережі під час вирішення конкретної загрози безпеці.

Технічний підхід полягав у переміщенні коштів у безпечне місце без порушення стану ланцюга або переривання легітимної діяльності користувачів. Це точне виконання демонструє здатність Ради безпеки впроваджувати цілеспрямовані заходи, зберігаючи децентралізовану роботу мережі для непорушених учасників.

Наслідки для децентралізації та реакція спільноти

Заморожування викликало значний дискурс у криптоспільноті щодо балансу між безпековими втручаннями та принципами децентралізації. Хоча дія запобігла подальшим втратам і захистила кошти користувачів, вона також підняла питання про ступінь централізованого контролю у системах, що позиціонуються як децентралізовані.

Спостерігачі галузі порівнювали цю ініціативу з іншими недавніми випадками заморожування активів. Зокрема, учасники спільноти порівнювали дії Arbitrum щодо заморожування викрадених коштів, пов’язаних із державними хакерами, із ситуаціями, що стосуються потенційно неправомірних заморожувань активів, підкреслюючи важливість легітимних процедур і прозорого обґрунтування таких заходів.

Експерт з безпеки в блокчейні Taylor Monahan охарактеризувала заморожування як колективне "зняття DPRK з 70 мільйонів USDT", трактуючи цю ініціативу як захист спільноти від державного експлуатаційного втручання, а не випадковий централізований контроль. Такий погляд підкреслює захисний намір дій Ради безпеки.

Поточний стан і наступні кроки

Заморожені 30 766 ETH залишаються під контролем управління у проміжному гаманці, недоступному для зловмисника. Кошти залишаться заблокованими до моменту, коли керівництво Arbitrum у співпраці з відповідними юридичними органами визначить подальший порядок дій.

Цей механізм, залежний від управління, гарантує, що повернення коштів відбуватиметься відповідно до встановлених процедур ухвалення рішень, а не односторонніми адміністративними заходами. Вовлечення юридичних органів відкриває можливості для відшкодування потерпілим або інших легально санкціонованих розподілів, хоча конкретні результати ще перебувають у процесі обговорення керівництва.

Вплив на екосистему та управління ризиками

Атака на KelpDAO і відповідь Arbitrum викликали широку переоцінку безпеки міжланцюгових мостів у протоколах DeFi. Aave вже заморозила ринки rsETH на V3 і V4, а засновник Stani Kulechov зазначив, що спільнота обговорює можливе постійне виключення з торгів після завершення кризової реакції.

Інцидент підкреслює системні ризики в архітектурі DeFi, що залежить від мостів, де компроміси у міжланцюговій інфраструктурі можуть спричинити ланцюгові реакції у кількох протоколах і мережах. Можливість втручання та заморожування активів демонструє цінність і складність механізмів Ради безпеки у Layer 2 екосистемах.

Технічні та управлінські аспекти

Втручання Arbitrum охоплює приблизно 25% від загального доходу від експлуатації, що свідчить про те, що, хоча й значне, воно захоплює лише частину вкрадених коштів. Решта активів, ймовірно, розподілена між іншими ланцюгами та протоколами, ускладнюючи повне відновлення.

Технічна здатність Ради безпеки точно заморожувати активи без порушення роботи мережі демонструє високий рівень реагування. Це баланс між швидким втручанням і збереженням децентралізованих властивостей мережі, хоча наявність таких механізмів створює потенційні вектори централізації.

Більший контекст індустрії

Атака на KelpDAO відбувається у період підвищеної уваги до безпеки у криптовалютних ринках, з кількома високопрофільними атаками, що приписуються складним групам загроз. Атрибуція Lazarus Group особливо підкреслює тривалі державні цілі щодо інфраструктури DeFi, підвищуючи вимоги до безпеки понад звичайні кримінальні моделі.

Реакція Arbitrum може закласти прецеденти для майбутніх заходів безпеки, впливаючи на те, як інші мережі Layer 2 і протоколи DeFi формуватимуть механізми екстреного реагування. Баланс між швидким втручанням і децентралізованим управлінням залишається актуальною темою у дизайні протоколів.

Висновок

Замороження Arbitrum 30 766 ETH, пов’язаних із експлуатацією KelpDAO, є важливим прецедентом у сфері безпеки DeFi. Хоча воно запобігло негайним втратам і продемонструвало технічну здатність до відновлення активів, ця дія викликала важливі дискусії щодо компромісів у децентралізації під час надзвичайних ситуацій. Контроль керівництва над замороженими коштами у процесі юридичної координації відкриває шлях до потенційного відшкодування, проте питання безпеки мостів і міжланцюгових ризиків залишається актуальним викликом для екосистеми.