# KelpDAO

#LayerZeroCEOAdmitsProtocolFlaws
В значительном повороте событий генеральный директор LayerZero Labs Брайан Пеллегрино публично признал сбои протокола после взлома Kelp DAO на сумму 292 миллиона долларов 18 апреля 2026 года, когда злоумышленник использовал уязвимость в конфигурации 1/1 для кражи токенов rsETH.
Опубликовав свое заявление в X (ранее Twitter) 4 мая 2026 года, Пеллегрино признался, что протокол LayerZero не смог предотвратить или обнаружить опасную конфигурацию 1/1. Он признал, что «ошибочно полагал, что ни одно приложение не будет обеспечивать безопасность миллиардов долларов TVL при такой конфигурации». Кроме того, Пеллегрино признал, что LayerZero усугубил кризис, приняв изменения RPC-кворума без уведомления пострадавших клиентов, назвав их коммуникацию «полной неудачей». Он завершил обещанием, что компания полностью сосредоточится на обслуживании эмитентов активов и предстоящем запуске Zero.
Это признание стало резким поворотом по сравнению с первоначальной реакцией LayerZero, которая полностью возлагала ответственность на уровень приложений и собственные настройки Kelp DAO. Публичное извинение последовало после обширной критики со стороны криптосообщества, особенно после того, как сторонние разработчики продемонстрировали, что опасная конфигурация 1/1 была явно указана в официальной документации LayerZero как исходная точка. Смена настроений в конечном итоге заставила Пеллегрино взять на себя ответственность за то, что критики назвали «системной высокомерием».
Однако Kelp DAO остается непреклонным. 5 мая они опубликовали подробный опровержение, в котором утверждали, что скомпрометированная конфигурация была стандартной для платформы, заявляя, что примерно 47% из 2665 активных контрактов LayerZero на момент взлома работали на конфигурациях 1/1. Kelp также опубликовал скриншоты из Telegram, якобы показывающие одобрение сотрудника LayerZero конфигурации 1/1 до инцидента. Kelp дополнительно поставил под сомнение, почему мониторинг LayerZero не обнаружил компрометацию RPC-узла до подписания поддельных сообщений, что они связывают напрямую с группой Lazarus из Северной Кореи.
В результате Kelp DAO подтвердил миграцию rsETH с LayerZero на стандарт CCIP от Chainlink на всех поддерживаемых цепочках, подчеркивая постоянную потерю доверия к архитектуре протокола.

#KelpDAOBridgeHacked
Эксплуатация моста KelpDAO: технический разбор и влияние на индустрию
18 апреля 2026 года мост rsETH от KelpDAO пострадал от крупнейшей в 2026 году атаки в сфере DeFi, в результате которой злоумышленники вывели примерно 116 500 rsETH, оцененных примерно в $292 миллионов долларов. Этот инцидент составляет около 18% от общего циркулирующего предложения rsETH и вызвал каскадные последствия по всей экосистеме DeFi.
Анализ векторов атаки
Эксплуатация была выполнена с помощью сложной многоэтапной атаки, нацеленной на инфраструктуру LayerZero. Злоумышленники сначала взломали два независимых RPC-узла, управляемых LayerZero Labs, заменив легитимные бинарные файлы op-geth на вредоносные версии. Эти заражённые узлы были специально настроены, чтобы обмануть децентрализованную сеть проверки LayerZero (DVN), при этом сохраняя правдивые ответы для других систем мониторинга, эффективно избегая обнаружения.
Последовательность атаки включала скоординированный DDoS-удар по третьему чистому RPC-узлу, что заставило DVN переключиться на скомпрометированную инфраструктуру. Конфигурация моста KelpDAO использовала схему 1 из 1 для DVN, то есть для подтверждения межцепочечных сообщений требовался только DVN LayerZero Labs. Заражённые узлы успешно подтвердили сфабрикованную транзакцию сжигания на Unichain, которая затем была передана системой Relay EndpointV2 в адаптер KelpDAO OFT, что вызвало несанкционированное высвобождение резервов основной сети.
После эксплуатации злоумышленник систематически отмывал украденные rsETH через несколько кошельков, размещая средства в качестве залога на рынках Aave V3 на Ethereum и Arbitrum. Злоумышленник обеспечил примерно 75 700 WETH на Ethereum и 30 800 WETH на Arbitrum, достигнув коэффициентов заем/стоимость около 99%, после чего протоколы заморозили дальнейшее заимствование.
Атрибуция и профиль угрозы
Исследователи безопасности и аналитические компании в области блокчейна связали атаку с группой Lazarus из Северной Кореи, в частности с кластером TraderTraitor. Характеристики операции соответствуют задокументированным методам Lazarus: терпеливым тактикам вторжений, манипуляциям доверенной инфраструктурой и сложным механизмам подавления обнаружения. Вредоносное ПО, использованное в атаке, саморазрушилось после эксплуатации, систематически уничтожая судебные доказательства с скомпрометированных систем.
Реакция протокола и меры по локализации
Aave отреагировал в течение нескольких часов, заморозив рынки rsETH в версиях V3 и V4, включая интеграцию SparkLend. В настоящее время протокол сталкивается с примерно $177 миллионом плохого долга, преимущественно сосредоточенного на Arbitrum. Общая заблокированная стоимость (TVL) в экосистеме Aave снизилась с $26 миллиардов до $18 миллиардов, что соответствует оттоку ликвидности на сумму от 8 до 14 миллиардов долларов, поскольку поставщики ликвидности выводили капитал.
Заражение распространилось за пределы Aave: более 15 протоколов ввели экстренные паузы на мостах. Пулы WETH демонстрировали 100% загрузку, создавая риски вторичной ликвидации для заемных позиций. KelpDAO занес адреса злоумышленников в черный список и утверждает, что предотвратил дополнительные попытки атаки на сумму около $95 миллионов.
Анализ причин возникновения инцидента
Между KelpDAO и LayerZero существует значительный спор относительно основной ответственности. LayerZero утверждает, что конфигурация 1 из 1 для DVN, рекомендованная в документации, отклонилась от рекомендуемых практик безопасности, подчеркивая, что у протокола не было уязвимостей, и инцидент ограничился инфраструктурой rsETH. LayerZero впоследствии исправил уязвимые системы DVN и RPC.
KelpDAO возражает, что документация и стартовые настройки LayerZero рекомендовали именно схему 1 из 1, и что поставщик инфраструктуры несет ответственность за безопасность RPC-узлов. Обе стороны согласны, что уязвимости смарт-контрактов не были использованы; причина кроется в доверительных предположениях, связанных с конфигурациями с одним узлом отказа.
Влияние на безопасность DeFi
Инцидент выявил критические уязвимости архитектуры межцепочечных мостов, особенно в части безопасности RPC-инфраструктуры. RPC-узлы стали системным слабым звеном, поскольку большинство протоколов полагаются на ограниченное число поставщиков без должной диверсификации отказоустойчивости. Атака показывает, что даже сложные системы мультиподписей и проверки могут быть скомпрометированы, если исходные данные источников заражены.
Аналитики отрасли рекомендуют немедленное внедрение конфигураций с несколькими DVN, диверсификацию сети RPC-поставщиков и системы аудита конфигураций в реальном времени. Модульная архитектура безопасности LayerZero ограничила радиус поражения только rsETH, не затронув другие OFT или OApp контракты, что свидетельствует о возможности сохранения устойчивости даже при целенаправленных атаках на инфраструктуру.
Текущий статус и усилия по восстановлению
Голосование в Aave сейчас обсуждает механизмы социального распределения долгов для решения ситуации с плохим долгом. KelpDAO, LayerZero и Aave создали координационные каналы для операций по восстановлению. Коллектив по безопасности блокчейна Seal-911 активно отслеживает перемещения средств, часть украденных активов проходит через Tornado Cash и другие протоколы маскировки. Каналы переговоров с белыми хакерами остаются открытыми, хотя подтверждений восстановления пока не поступало.
Этот инцидент установил новый рекорд по взломам DeFi в 2026 году, превзойдя инцидент с Drift Protocol на сумму $285 миллионов от 1 апреля. Он подчеркивает продолжающиеся опасения по поводу безопасности мостов как основного вектора атаки в DeFi, а инфраструктура межцепочечных сообщений остается самой уязвимой точкой безопасности экосистемы.
#KelpDAO #DeFiSecurity #BridgeExploit #CryptoNews