#KelpDAOBridgeHacked Келп DAO Мост Взломан: $292 Миллионная Уязвимость Потрясает DeFi до Основ

Катастрофическая ошибка в межцепочечной безопасности привела к крупнейшему взлому DeFi 2026 года, вызвав ожесточённую игру обвинений между Kelp DAO и LayerZero, а также угрожая парализовать крупные кредитные протоколы, такие как Aave.

В том, что быстро стало самым разрушительным взломом децентрализованных финансов (DeFi) за этот год, Kelp DAO понесла убытки на сумму $292 миллион за выходные. Атака была направлена на межцепочечной мост протокола, основанный на LayerZero, что привело к краже 116 500 токенов rsETH .

Инцидент, произошедший 18 апреля, не только истощил значительную часть ликвидности Kelp, но и вызвал каскадный кризис по всей экосистеме, втянув в него гиганта кредитования Aave и вызвав горячие споры о том, кто в конечном итоге несет ответственность за сбой безопасности .

Механизм атаки: как хакеры обошли безопасность

Злоумышленник пополнил свой кошелек через Tornado Cash примерно за 10 часов до эксплуатации, используя классическую технику маскировки, применяемую продвинутыми группами хакеров . Предварительные расследования, включая работу блокчейн-детектива ZachXBT, указывают на северокорейскую группу Lazarus как на вероятного исполнителя .

Механизм атаки был очень техническим. Согласно сообщениям, хакеры взломали список RPC-узлов, используемых Decentralized Verified Network (DVN) LayerZero Labs. Путем отравления двух узлов и запуска DDoS-атаки на остальные, злоумышленники заставили сеть принять поддельное межцепочечное сообщение .

Это фальшивое сообщение обмануло мостовой контракт Kelp DAO, заставив его «освободить» 116 500 rsETH в основном сети Ethereum, которые должны были остаться заблокированными.

Игра обвинений: Kelp DAO против LayerZero

После инцидента разгорелся публичный спор между Kelp DAO и LayerZero относительно причины уязвимости.

· Позиция LayerZero: Протокол обмена сообщениями прямо обвинил Kelp DAO в использовании конфигурации «1 из 1 DVN» (Decentralized Verifier Network). Они утверждают, что эта настройка создала катастрофическую единую точку отказа, так как не было независимого второго валидатора для обнаружения злонамеренной транзакции. LayerZero заявляет, что они советовали по лучшим практикам диверсификации, но Kelp решил их не применять .
· Защита Kelp DAO: В твёрдом опровержении Kelp DAO отвергла эти обвинения, заявив, что модель 1 из 1 DVN была стандартной конфигурацией, описанной в документации LayerZero для новых развертываний OFT (Omnichain Fungible Token). Kelp утверждает, что работала на этой инфраструктуре с января 2024 года и что ранее эта настройка была подтверждена представителями LayerZero как подходящая .

Распространение кризиса: Aave сталкивается с $230M Дырой

Самое серьёзное последствие взлома — системный риск для Aave, ведущего протокола кредитования DeFi.

Вместо того чтобы продать украденные rsETH, злоумышленник заложил 89 567 токенов в Aave в качестве залога и занял примерно $190 миллион в WETH и wstETH . Это оставило Aave с залогом, чья ценность существенно подорвана.

Согласно отчету Aave Labs, потенциальные убытки для Aave сильно варьируются в зависимости от того, как Kelp DAO решит распределить недостачу:

1. Общие убытки ($124 миллион): Если убытки распределены между всеми держателями rsETH (с событием отклонения курса на 15%).
2. Изоляция Layer 2 ($230 миллион): Если убытки ограничены только сетями Layer 2, оставляя основные активы Aave частично непокрытыми .

В ответ Aave заморозила рынки rsETH на V3 и V4, установив коэффициенты Loan-to-Value на ноль, чтобы предотвратить дальнейшее заимствование. Токен Aave (AAVE) упал на 10% после новости, а более $10 миллиарда( в общей заблокированной стоимости )TVL$71 покинули протокол, поскольку пользователи спешили вывести средства .

Аварийные меры: Arbitrum Замораживает $292 Миллион

В редком проявлении быстрой управленческой реакции Совет безопасности Arbitrum вмешался, чтобы заморозить 30 766 ETH — примерно на сумму $71,1 миллиона — связанные с эксплойтом в сети Arbitrum One .

Средства были переведены на промежуточный замороженный кошелек. Arbitrum заявил, что эти активы останутся неподвижными до принятия формального решения руководства, что может привести к возврату средств пользователям . Совет отметил, что он действовал с учетом мнения правоохранительных органов относительно личности злоумышленника .

Что будет дальше?

На данный момент ситуация остается нестабильной, но критической. Kelp DAO приостановила работу своих контрактов rsETH в основной сети и на нескольких Layer-2 сетях . Основная проблема для разрешения ситуации — то, что у Kelp DAO, вероятно, нет достаточных средств в казне, чтобы покрыть (миллионный убыток в одностороннем порядке .

Индустриальные наблюдатели предполагают, что LayerZero может быть вынуждена вмешаться, чтобы сохранить репутацию своей экосистемы OFT, или что Aave придется использовать свой DAO-казначейский фонд $181 )миллион для покрытия плохого долга. Однако обе стороны в настоящее время отрицают прямую ответственность .