KelpDAO було викрадено, що пролунало як тривога безпеки DeFi Що це нам навчає

Shaw.ai, Гроші Золотий

18 квітня, у криптовалютній сфері відбулася найсерйозніша з моменту 2026 року подія безпеки децентралізованих фінансів (DeFi) — атака хакерів на міжланцюговий міст rsETH KelpDAO, внаслідок якої за кілька годин було викрадено близько 116500 rsETH, що за тодішнім курсом становить до 2,9 мільярдів доларів США, або 18% від загального пропозиції rsETH. Ця атака не лише поставила KelpDAO у кризу, а й спричинила паніку щодо ліквідності у всій галузі DeFi, навіть провідні платформи кредитування, такі як Aave, були залучені — понад 9 мільярдів доларів було терміново виведено, що можна назвати “фінансовим цунамі” рівня.

Можливо, багато хто не знайомий з термінами “міжланцюговий міст”, “rsETH”, “ліквідність на межі” — не хвилюйтеся, ми простими словами поетапно розглянемо весь процес атаки, а потім обговоримо останні новини та найактуальніші питання.

1. Спершу зрозуміти 3 ключові поняття, щоб легко зрозуміти подію

Перед розглядом процесу атаки потрібно прояснити 3 основні терміни, інакше можна заплутатися:

• rsETH: просто кажучи, “похідний токен ETH”. Ми знаємо, що ETH (Ethereum) можна “застейкати” для отримання відсотків, але при цьому кошти блокуються і не можуть бути використані одразу. rsETH — це токен, який “об’єднує” застейканий ETH, тобто володіння rsETH означає володіння правом на відповідний ETH, що був застейканий, і дозволяє отримувати відсотки, а також торгувати або заставляти його — щось на кшталт “ваучера” на ETH, що застейканий.

• Міжланцюговий міст: різні блокчейни (наприклад, Ethereum, BSC) — як різні “банки”, а міжланцюговий міст — це “перевізний шлях” для переказу активів між цими “банками”. У цьому випадку rsETH може переміщатися між різними блокчейнами через цей міст. Цього разу атакували міст, побудований на платформі LayerZero.

• Модуль LayerZero DVN: можна уявити як “контрольний пункт” або “інспектора”, що перевіряє справжність транзакцій між ланцюгами — наприклад, підтверджує, що ви справді переказали токен на одній мережі, перш ніж видавати його на іншій. Зазвичай для безпеки використовують кілька “інспекторів” (мультиверифікаторів), але KelpDAO налаштував лише одного — що і дало хакерам шанс.

2. Повний процес атаки: 3 кроки викрадення 2,9 мільярдів доларів, справжній “учебник” зловмисників

Ця атака була дуже прихованою і ефективною — весь процес зайняв менше години, з чіткою послідовністю і цілеспрямованістю. Деталі можна поділити на 3 основні кроки:

Перший крок: вразливість, “створення грошей з повітря”

Хакери точно виявили критичну уразливість моста rsETH — залежність від одного “інспектора” DVN на платформі LayerZero. Зазвичай, для створення rsETH потрібно мати реальний ETH, застейканий як гарантія, але хакери за допомогою технічних засобів підробили повідомлення про транзакцію між ланцюгами, обдуривши єдиного “інспектора”.

Більш конкретно, хакери попередньо зломали RPC-нод, що залежить від LayerZero DVN, замінили його програмне забезпечення і навіть через DDoS-атаку вивели з ладу нормальні ноди, змусивши “інспектора” довіряти підробленій інформації. В результаті, вони змогли “зробити з нічого” 116500 фальшивих rsETH без будь-якої реальної застави — ніби маючи “підроблений ваучер” на застейканий ETH, але обманувши всіх.

Другий крок: кредитування, “зробити фальшиве справжнім”

Маючи ці “фальшиві” rsETH, хакери не продавали їх одразу (щоб не привернути уваги), а застосували більш прихований спосіб — залучили їх у кредитні платформи. Вони помістили ці підроблені rsETH у 9 протоколів кредитування, зокрема в Aave v3, використовуючи їх як заставу для отримання реальних активів, наприклад, WETH (обгортка ETH, вартість та ETH однакова). Це означає, що вони “взяли кредит” у реальних грошей, використовуючи фальшиві активи.

Третій крок: паніка і витік ліквідності

Швидкість дій була неймовірною — багато фальшивих rsETH були закладені, багато WETH позичено, що призвело до повного виснаження ліквідності WETH у протоколі Aave v3, а його показник використання підскочив до 100% — тобто, всі запаси WETH були “взяті в борг”, і звичайні користувачі не могли вивести свої кошти.

Новина швидко поширилася — ринок охопила паніка: всі побоювалися, що через “фальшиві застави” у Aave виникнуть великі борги, і їхні депозити стануть безпорадними. В результаті почалася масштабна “витік ліквідності”: не лише WETH, а й стабільні монети USDC, USDT — їхній рівень використання також зріс. За 48 годин у Aave було виведено понад 9 мільярдів доларів, а загальні активи DeFi зменшилися на 13,2 мільярда.

Варто зазначити, що приблизно через 46 хвилин після атаки KelpDAO виявила аномалію і терміново призупинила функції, пов’язані з rsETH, щоб запобігти подальшій шкоді. Інакше збитки могли бути ще більшими. Вважається, що за цю операцію відповідальна група Lazarus з Північної Кореї — її високий рівень професіоналізму дуже помітний.

3. Останні новини: швидкі заходи та проблеми з боргами

Після атаки KelpDAO, LayerZero, Aave та інші учасники швидко діяли. На 23 квітня — останні новини:

1. KelpDAO: терміново призупинила роботу основної мережі та кількох L2-ланцюгів з rsETH, об’єднала зусилля з LayerZero, аудиторами і фахівцями безпеки для розслідування. Зараз аналізують збитки і шукають рішення щодо погашення боргів.

2. LayerZero: заявила, що сама по собі не має вразливості у протоколі, а проблема — у конфігурації KelpDAO з “одним DVN”. Вони вже відмовилися від уразливих RPC-нод і замінили їх на нові, закликають всі проекти швидко перейти на “мультиверифікацію” і співпрацювати з правоохоронними органами для пошуку коштів хакерів.

3. Aave: тимчасово заблокувала ринок застави rsETH, щоб запобігти подальшому зростанню боргів. 21 квітня оновила статус — резерв WETH у Ethereum Core V3 розблоковано, користувачі можуть знову додавати WETH, але LTV (максимальний кредитний коефіцієнт) залишився 0. Інші мережі, як Arbitrum, Prime, поки що у стані замороження, і їх поступово відновлюють.

4. Вплив на галузь: ця подія викликала широку дискусію щодо безпеки міжланцюгових мостів і ризиків з повторного заставлення (LRT). Багато протоколів посилили вимоги до заставних активів, частина з них видали з обігу низькорентабельні LRT, щоб уникнути подібних інцидентів. Також багато компаній з безпеки криптоіндустрії опублікували рекомендації щодо безпеки мостів, закликаючи проєктантів перевірити “односторонню верифікацію” і “безпеку нод”. Деякі провідні міжланцюгові проєкти вже почали оновлювати системи безпеки, додавши багатоступеневу верифікацію і захист RPC-нод.

5. Деталі слідства за коштами хакерів: станом на 23 квітня — з 116500 викрадених rsETH близько 30% вже обміняли на WETH і USDC, частина коштів через децентралізовані біржі розподілена і перекинута, ще 20% — у приватні гаманці з підвищеною приватністю, що ускладнює відстеження. Однак, безпекові структури вже заблокували кілька адрес, пов’язаних із хакерами, і співпрацюють із біржами для замороження активів.

6. Виплати користувачам: у повідомленні KelpDAO від 22 квітня зазначено, що пріоритет — захистити інтереси простих користувачів. Вони аналізують список rsETH-володарів і збитки, планують компенсувати частину втрат через “громадський фонд” і “страхові виплати”, але деталі та терміни ще не визначені — чекатимуть завершення аудиту. Aave запевнила, що збитки не лягатимуть на звичайних вкладників і будуть покриті за рахунок резервів платформи та відповідальних сторін.

7. Найактуальніші питання — коротко і ясно

Після події багато інвесторів і користувачів мають запитання. Ось п’ять найпоширеніших з відповідями простою мовою:

1. Чому хакери змогли успішно? В чому головна причина?

Головна причина — неправильна “конфігурація безпеки” KelpDAO — вони довірили безпеку мосту одному “інспектору” (один DVN). LayerZero давно попереджала, що така схема дуже ризикована, але KelpDAO її ігнорувала. Хакери скористалися цим, підробивши повідомлення і обдуривши єдиного інспектора, що і призвело до “зробити з нічого” — без застави створити фальшиві rsETH. Це — наслідок “односторонньої довіри”, а не помилка у коді.

2. Чи можливо повернути 2,9 мільярдів доларів?

Зробити це дуже важко, але не неможливо. Зараз LayerZero і правоохоронці працюють над відстеженням коштів. Хоча хакери використовують інструменти для приховування, сліди транзакцій залишаються. Оскільки група дуже професійна (можливо, АПТ), і частина коштів вже перекинута, точну суму повернути поки що важко.

3. Чи постраждають звичайні користувачі?

Залежить від ситуації: ① Якщо ви просто зберігали USDC, USDT або ETH на платформах, без застави rsETH — ваші кошти наразі безпечні, платформи вже ввели замороження і працюють над відновленням. ② Якщо ви володієте rsETH або використовували його як заставу — можливо, зазнаєте збитків, залежно від подальших дій KelpDAO щодо погашення боргів.

4. Чим ця атака відрізняється від попередніх?

Найбільша різниця — масштаб наслідків. Зазвичай атаки на мостах торкалися лише одного проекту, а тут через використання rsETH у багатьох кредитних протоколах, атака спричинила паніку і витік ліквідності по всій галузі. Це був “збій конфігурації + інфраструктурна атака”, а не просто крадіжка ключів або вразливість у коді.

5. Що чекати далі для DeFi?

Очікується посилення безпеки — зокрема, вимога багатоступеневої верифікації для мостів, жорсткіший контроль заставних активів, автоматичне “зупинення” у разі підозрілих транзакцій. Це зробить DeFi більш стійким і зменшить ризики.

5. Висновок: тривога для всієї галузі

Ця атака на 2,9 мільярда доларів — результат “програшу на довірі” і “безпечної недбалості”. KelpDAO ігнорувала рекомендації LayerZero і застосувала високоризикову схему з одним інспектором, що і стало причиною катастрофи. Вона також показала вразливості “конструкторської” структури DeFi: один зломлений елемент може спричинити ланцюгову реакцію.

Для звичайних користувачів це — важливий урок: інвестуючи у криптовалюти, потрібно враховувати не лише прибутковість, а й безпеку проекту і його захист від помилок. Не дозволяйте недбалості проєктів ставати причиною втрати ваших коштів.

Розслідування і відновлювальні заходи тривають. Як розподілять збитки, як підвищать безпеку мостів і які механізми компенсації — залишаються головними питаннями. Також ця подія прискорить регуляторний нагляд — країни вже працюють над нормативами для безпеки мостів і контролю за повторним заставленням активів. Ми продовжимо стежити за новинами і тримати вас у курсі.