#KelpDAOBridgeHacked Взлом моста KelpDAO представляет собой переломный момент для безопасности межцепочечного DeFi, выявляя критические уязвимости в управлении коллатеральным обеспечением в протоколах жидкого повторного залога. $292 Миллионный слив 116 500 rsETH с моста Kelp, работающего на LayerZero, 19 апреля 2026 года, теперь считается крупнейшим взломом DeFi за год и вторым по величине эксплоитом моста в истории криптовалют, уступая только краже $625 миллионов на Ronin Network в 2022 году.

Понимание вектора атаки требует изучения архитектурных связей между KelpDAO и LayerZero. Kelp функционирует как протокол жидкого повторного залога, позволяя пользователям вносить производные ETH-ставки, такие как stETH или cbETH, в обмен на rsETH — токен, представляющий позиции с повторным залогом, приносящие доход через EigenLayer. Чтобы обеспечить циркуляцию rsETH более чем на 20 блокчейнах, включая Base, Arbitrum, Linea, Blast, Mantle и Scroll, Kelp использовал стандарт Omnichain Fungible Token (OFT) LayerZero, который блокирует токены на основном Ethereum-ланце, одновременно выдавая обернутые представления на целевых цепочках.

Изысканность эксплойта заключается в его инфраструктурной целенаправленности, а не уязвимости смарт-контрактов. Атака, предварительно приписываемая группе Lazarus из Северной Кореи и её подподразделению TraderTraitor по версии LayerZero, осуществила многоэтапную операцию, компрометируя механизм верификации. Они сначала взломали два RPC-узла, на которые опирался верификатор LayerZero для проверки межцепочечных сообщений, заменив легитимное программное обеспечение узлов на вредоносные бинарные файлы, предназначенные для выборочной подачи ложных данных о транзакциях. Когда верификатор LayerZero запрашивал эти скомпрометированные узлы, он получал подтверждение о том, что межцепочечный перевод был выполнен, хотя на исходной цепочке такой транзакции не существовало.

Одного взлома двух узлов было недостаточно, поскольку архитектура верификатора LayerZero запрашивает данные с нескольких RPC-эндпоинтов для обеспечения избыточности. Атака была проведена в виде скоординированной распределенной атаки отказа в обслуживании (DDoS) против внешних узлов, не подвергшихся взлому, в период с 10:20 до 11:40 по тихоокеанскому времени в субботу, что вынудило переключиться на зараженную инфраструктуру. Как только вредоносные узлы стали единственным источником данных, они приказали мосту Kelp выпустить 116 500 rsETH, примерно 18% циркулирующего предложения, на адреса, контролируемые злоумышленниками. Вредоносное программное обеспечение затем самоудалилось, стирая бинарные файлы и локальные логи, чтобы затруднить судебный анализ.

Ключевым фактором стало решение Kelp использовать конфигурацию с одним верификатором (1-of-1), несмотря на явные рекомендации LayerZero о необходимости многоразовых верификаторов. В правильно защищенной системе, требующей согласия нескольких независимых децентрализованных сетей верификаторов (DVNs), компрометация одного источника данных не могла бы привести к подделке валидных межцепочечных сообщений. LayerZero подтвердил, что все токены и приложения, использующие стандарт OFT и настроенные на работу с несколькими верификаторами, остались полностью невредимыми, демонстрируя, что протокол функционировал согласно проекту, а выбор безопасности Kelp создал уязвимое место.

Немедленные последствия вызвали каскадные эффекты в протоколах DeFi, держащих rsETH. Самый крупный протокол кредитования Aave, использующий rsETH в качестве залога, столкнулся с потенциальными проблемами с плохим долгом на сумму от $123 миллионов до $230 миллионов, в зависимости от того, как Kelp распределит недостачу. Нижняя оценка предполагает потери, распространяющиеся среди всех держателей rsETH, вызывая примерно 15% дезпейджинг, в то время как более высокая — концентрированное воздействие на сети Layer 2, если потери останутся изолированными вне Ethereum. Злоумышленник внес 89 567 rsETH в Aave в качестве залога, заняв примерно $190 миллионов в ETH и связанных активах на Ethereum и Arbitrum, оставляя протокол под угрозой обеспечения залогом с потенциально ослабленной поддержкой.

Экстренные меры Aave заблокировали рынки rsETH на V3 и V4 в течение нескольких часов, установили коэффициенты займа к стоимости (LTV) в ноль и прекратили новые займы по этому активу. Несмотря на эти меры, из Aave было выведено около $6 миллиардов в общей заблокированной стоимости, поскольку пользователи пересмотрели риски взаимосвязанной инфраструктуры DeFi. Аналогично SparkLend, Fluid и Upshift заморозили рынки rsETH, а Lido Finance приостановила депозиты в свой продукт earnETH с риском rsETH. Ethena временно приостановила работу своих мостов LayerZero OFT в качестве меры предосторожности, несмотря на отсутствие прямого воздействия на rsETH.

Более широкая экосистема DeFi испытала серьезные цепные реакции. Общая заблокированная стоимость в протоколах DeFi упала на $14 миллиардов, достигнув однолетнего минимума и снизившись на 50% с пиков октября 2025 года. Только в Aave было выведено около $85 миллиардов в виде депозитов. Сокращение TVL сектора DeFi отражает не только прямые потери от взлома, но и фундаментальное переоценивание рисков межцепочечных мостов, поскольку пользователи начинают осознавать, что обернутые активы на Layer 2 могут не иметь полного обеспечения при нарушении резервов моста.

Ответные меры LayerZero после инцидента имеют важные последствия для стандартов межцепочечной инфраструктуры. Протокол объявил, что больше не будет подписывать сообщения для приложений, использующих конфигурацию с одним верификатором, фактически принуждая к обязательной миграции на многоразовые верификаторы по всему экосистему. Этот сдвиг превращает ранее рекомендацию по безопасности в обязательное требование на уровне протокола, что может предотвратить подобные взломы, но также увеличивает операционные сложности и издержки для межцепочечных приложений.

Динамика дезпейджинга rsETH создает текущие рыночные риски. После истощения резервов моста держатели вне Ethereum сталкиваются с неопределенностью относительно полного обеспечения своих токенов. Это вызывает рефлексивное давление, при котором панические выкупы на Layer 2 могут вынудить Kelp закрыть позиции повторного залога для выполнения выводов, что потенциально вызовет дальнейший дезпейджинг и каскадные ликвидации в кредитных протоколах. Мультиподписьный механизм экстренного приостановления Kelp заблокировал основные контракты через 46 минут после первоначального сливания, но два последующих попытки взлома в 18:26 и 18:28 по UTC, каждая из которых пыталась вывести дополнительно по 40 000 rsETH на сумму около $10 миллионов, были предотвращены только этими мерами.

С точки зрения исследований безопасности, этот взлом демонстрирует развитие операций кражи криптовалют, спонсируемых государством. Инфраструктурная целенаправленность Lazarus Group, сочетающая компрометацию RPC-узлов с манипуляциями DDoS-отказа в обслуживании, демонстрирует значительно более высокую сложность, чем предыдущие эксплойты смарт-контрактов. Выборочная подача ложных данных, остававшаяся незаметной для мониторинговых систем LayerZero, которые запрашивают одни и те же RPC с разных IP-адресов, показывает продвинутую тактику операционной безопасности, разработанную для уклонения от обнаружения до момента выполнения.

Инцидент также подчеркивает системные риски сложности протоколов жидкого повторного залога. Обертывание производных ETH-ставок через EigenLayer, а затем их мостинг через несколько цепочек с помощью LayerZero создает цепочку зависимостей, в которой уязвимости на любом уровне, в мосте или механизме верификации могут поставить под угрозу всю структуру коллатерала. $100 Миллионный ущерб превышает совокупные эксплойты предыдущего месяца, включая эксплойт Drift на 1 апреля на сумму $292 миллионов, что делает 2026 год рекордным по кражам в DeFi с более чем $285 миллионов украденных за всего 20 дней.

Для участников DeFi взлом KelpDAO требует фундаментальной переоценки рисков межцепочечных активов. Обернутые активы на Layer 2 — это только так надежно, как их инфраструктура моста, а концентрация резервов в единой точке отказа создает системные уязвимости, которые могут использовать продвинутые злоумышленники. Переход к конфигурациям с несколькими верификаторами, хотя и повышает безопасность, не может устранить фундаментальные доверительные предположения, лежащие в основе межцепочечного мостинга. Пока не появится полностью доверительная межцепочечная коммуникация, пользователи DeFi должны учитывать премию за риск моста при оценке доходных возможностей в рамках мультицепочечных развертываний.