#KelpDAOBridgeHacked Використання моста KelpDAO є переломним моментом для безпеки міжланцюгового DeFi, відкриваючи критичні вразливості у тому, як протоколи ліквідного повторного залучення керують мульти-ланцюговим забезпеченням. $292 Мільйонний витік 116 500 rsETH з мосту Kelp, який працює на LayerZero, 19 квітня 2026 року, тепер є найбільшим злом у DeFi за цей рік і другим за величиною злом у історії криптовалютних мостів, поступаючись лише $625 мільйоном крадіжки Ronin Network у 2022 році.

Розуміння вектору атаки вимагає аналізу архітектурних зв’язків між KelpDAO і LayerZero. Kelp функціонує як протокол ліквідного повторного залучення, дозволяючи користувачам вносити похідні активи ETH, такі як stETH або cbETH, в обмін на rsETH, токен, що представляє позиції з повторним залученням, які приносять дохід через EigenLayer. Щоб забезпечити циркуляцію rsETH більш ніж у 20 блокчейнах, включаючи Base, Arbitrum, Linea, Blast, Mantle і Scroll, Kelp використовував стандарт Omnichain Fungible Token (OFT) LayerZero, який блокував токени на основній мережі Ethereum і видавав обгорнені представлення на цільових ланцюгах.

Складність експлойту полягає у його цілісності інфраструктурного рівня, а не у вразливості смарт-контрактів. Атакуючі, попередньо приписувані групі Lazarus з Північної Кореї та її підрозділу TraderTraitor, LayerZero, виконали багатоступеневу операцію, яка скомпрометувала механізм верифікації. Вони спочатку проникли у два RPC-ноді, на які покладався верифікатор LayerZero для перевірки міжланцюгових повідомлень, замінивши легітимне програмне забезпечення нод на зловмисні бінарні файли, створені для вибіркового повідомлення фальшивих даних транзакцій. Коли верифікатор LayerZero запитував ці скомпрометовані ноди, він отримував підтвердження, що відбулася дійсна міжланцюгова трансакція, хоча такої транзакції на джерельному ланцюгу не існувало.

Компрометація двох нод сама по собі була недостатньою, оскільки архітектура верифікатора LayerZero запитує кілька RPC-ендпоінтів для резервування. Атакуючі розгорнули скоординовану розподілену атаку відмови в обслуговуванні проти не скомпрометованих зовнішніх нод між 10:20 і 11:40 за тихоокеанським часом у суботу, змусивши систему перейти на отруєну інфраструктуру. Коли зловмисні ноди стали єдиним джерелом даних, вони наказали мосту Kelp випустити 116 500 rsETH, приблизно 18% обігу, на адреси, контрольовані зловмисниками. Зловмисне програмне забезпечення згодом самознищилося, стираючи бінарні файли та локальні журнали для ускладнення криміналістичного аналізу.

Ключовим фактором стало рішення Kelp працювати з однією верифікаційною системою (1-з-1), незважаючи на явні рекомендації LayerZero щодо резервування кількох верифікаторів. За правильно посиленою конфігурацією, яка вимагає консенсусу між кількома незалежними децентралізованими мережами верифікаторів (DVNs), компрометація одного джерела даних була б недостатньою для підробки дійсних міжланцюгових повідомлень. LayerZero підтвердив, що всі токени та застосунки стандарту OFT, що працюють з багатьма верифікаторами, залишилися цілком незатронутими, демонструючи, що протокол працював за задумом, тоді як безпековий вибір Kelp створив вразливу точку.

Негайні наслідки спричинили каскадні ефекти у протоколах DeFi, що мають експозицію rsETH. Найбільший кредитний протокол Aave, який використовує rsETH як заставу, зіткнувся з потенційними сценаріями поганого боргу від $123 мільйона до $230 мільйона залежно від того, як Kelp розподілить недостачу. Нижня оцінка передбачає поширення збитків серед усіх власників rsETH, що спричинить приблизно 15% відпливу, тоді як вища — зосередження на мережах Layer 2, якщо збитки залишаться ізольованими до не-Ethereum деплойментів. Атакуючі внесли 89 567 rsETH у Aave як заставу, позичаючи приблизно $190 мільйон у ETH та пов’язаних активів через Ethereum і Arbitrum, залишаючи протокол під ризиком забезпечення з потенційно зменшеним запасом.

Надзвичайна ситуація в Aave заблокувала ринки rsETH на V3 і V4 протягом кількох годин, встановила коефіцієнти кредитування на нуль і зупинила нове позичання під цей актив. Незважаючи на ці заходи, з Aave було виведено приблизно $6 мільярда загальної заблокованої вартості, оскільки користувачі переоцінювали ризики взаємопов’язаних інфраструктур DeFi. SparkLend, Fluid і Upshift також заблокували ринки rsETH, тоді як Lido Finance призупинив депозити у свій продукт earnETH з експозицією rsETH. Ethena тимчасово припинила роботу своїх мостів LayerZero OFT як запобіжний захід, незважаючи на відсутність прямої експозиції rsETH.

Широка екосистема DeFi зазнала серйозних наслідків поширення. Загальна заблокована вартість у протоколах DeFi знизилася на $14 мільярдів до приблизно $85 мільярдів, досягнувши найнижчого рівня за рік і знизившись на 50% від піків жовтня 2025 року. Лише Aave зафіксувала близько $10 мільярдів виведених депозитів. Скорочення TVL сектору DeFi відображає не лише прямі втрати від експлойтів, а й фундаментальне переоцінювання ризиків міжланцюгових мостів, оскільки користувачі усвідомлюють, що обгорнені активи на Layer 2 можуть не мати повного забезпечення, якщо резерви мосту будуть зламані.

Післяінцидентна реакція LayerZero має значні наслідки для стандартів міжланцюгової інфраструктури. Протокол оголосив, що більше не підписуватиме повідомлення для будь-яких застосунків із одно-верифікаторною конфігурацією, фактично примушуючи до обов’язкової міграції на багатоверифікаторні системи по всій екосистемі. Ця зміна політики перетворює рекомендацію з безпеки у вимогу протоколу, потенційно запобігаючи подібним зломам, але й ускладнюючи операційні процеси та підвищуючи витрати для міжланцюгових застосунків.

Динаміка відпливу rsETH створює постійний ринковий ризик. Зі зняттям резервів мосту, власники не-Ethereum деплойментів стикаються з невизначеністю щодо повного забезпечення своїх токенів. Це викликає рефлексивний тиск, коли панічні викупні операції на Layer 2 можуть змусити Kelp розгортати позиції повторного залучення для виконання виведень, що потенційно спричинить подальше відплив і каскадні ліквідації у кредитних протоколах. Мульти-сиг Kelp, що зупинив основні контракти через 46 хвилин після початкового витоку, але два наступні спроби зливу ще по 40 000 rsETH, вартістю приблизно $100 мільйон, у 18:26 та 18:28 UTC були зупинені лише цими екстреними заходами.

З точки зору безпекових досліджень, цей злом демонструє еволюцію операцій крадіжки криптовалют за підтримки держави. Інфраструктурна ціль Lazarus Group, поєднання компрометації RPC-нодів із маніпуляціями DDoS для відмови у обслуговуванні, значно вищі за складністю, ніж попередні зломи смарт-контрактів. Вибіркове отруєння даних, яке залишалося непоміченим для моніторингових систем LayerZero, що запитують ті самі RPC з різних IP-адрес, демонструє високий рівень операційної безпеки та майстерність, спрямовану на уникнення виявлення до моменту виконання.

Інцидент також підкреслює системні ризики складності протоколів ліквідного повторного залучення. Обгортаючи похідні активи ETH через EigenLayer і потім мостячи обгорнені представлення через кілька ланцюгів за допомогою LayerZero, rsETH створив ланцюг залежностей, уразливості в будь-якому шарі, мосту або механізмі верифікації можуть компрометувати весь стек забезпечення. Втрата понад $292 мільйон перевищує сумарні зломи попереднього місяця, включаючи $285 мільйонний злом Drift 1 квітня, встановлюючи 2026 рік як рекордний за крадіжками у DeFi з понад $600 мільйоном викрадених за 20 днів.

Для учасників DeFi злом KelpDAO вимагає фундаментальної переоцінки ризиків міжланцюгових активів. Обгорнені активи на Layer 2 залежать від інфраструктури мосту, а концентрація резервів у єдиній точці відмови створює системні вразливості, які досвідчені зловмисники можуть використати. Перехід до багатоверифікаторних конфігурацій, хоча й підвищує безпеку, не може усунути фундаментальні довірчі припущення, що лежать в основі міжланцюгового мостування. Поки не з’явиться справді бездовірчий міжланцюговий зв’язок, користувачам DeFi доведеться враховувати премію за ризик мосту при оцінці можливостей отримання доходу у мульти-ланцюгових деплойментах.