#KelpDAOBridgeHacked

18 квітня 2026 року Kelp DAO став жертвою найбільшої криптовалютної експлуатації року, коли хакери зняли приблизно 292-294 мільйони доларів з його міжланцюгової інфраструктури мосту. Атака була спрямована на міст протоколу, який працює на LayerZero, що дозволяє передавати rsETH (застейканий Ефір) токени через кілька блокчейн-мереж. Ця інцидент є значним порушенням у екосистемі децентралізованих фінансів і спричинив шок у криптоспільноті.

Що таке Kelp DAO

Kelp DAO працює як протокол ліквідного повторного ставлення, що дозволяє користувачам вносити популярні токени для стейкінгу, такі як stETH або cbETH, в обмін на токени rsETH. Ці токени rsETH представляють "повторно застейканий" Ефір, що дає змогу користувачам отримувати доходи на свої неробочі криптовалютні інвестиції, зберігаючи ліквідність. Інфраструктура мосту протоколу, побудована за допомогою технології LayerZero, сприяє переміщенню цих токенів через понад 20 різних блокчейн-мереж, включаючи Base, Arbitrum, Linea, Blast, Mantle і Scroll.

Механізм атаки

Експлуатація сталася через складну маніпуляцію системою міжланцюгового обміну повідомлень. Атакуючі змогли надіслати фальшиві міжмережеві повідомлення, які здавалося, були дійсними інструкціями, що спровокувало систему на переказ 116 500 rsETH на адресу зловмисника. Ця сума становила приблизно 18% від загального обігу rsETH на момент атаки.

Експерти з безпеки з Cyvers пояснили, що зловмисник використав уразливості валідації стану та передачі повідомлень, щоб обійти заходи безпеки та витягти заставу. Техніка дозволила створити непідкріплені токени rsETH, які потім використовувалися для позичання реальних активів, таких як ETH. Цей механізм демонструє, як експлуатація міжланцюгових мостів може швидко масштабуватися, створюючи не лише порушення одного протоколу, а й міжпротокольну епідемію, що впливає на кілька платформ одночасно.

Негайна реакція та контроль збитків

Виявивши підозрілу міжланцюгову активність, що стосувалася rsETH, Kelp DAO негайно призупинив усі контракти rsETH у мережі Ethereum і кількох мережах другого рівня. Протокол координував дії з LayerZero, Unichain, аудиторами та експертами з безпеки для проведення аналізу причин. Ця екстрена реакція допомогла обмежити подальші збитки, але не могла повернути вже вкрадені активи.

Атака спричинила екстрені замороження на кількох платформах DeFi. Найбільший протокол кредитування DeFi, Aave, заморозив свої ринки rsETH як в Ethereum, так і в Arbitrum, щоб запобігти додатковим втратам. За оцінками галузі, Aave може зазнати потенційних збитків від $123 мільйона до $230 мільйонів доларів через цю інцидент. Lido повідомила про приблизно 21,6 мільйона доларів у ризиках через позикові позиції і зазначила, що може використати буфер збитків у розмірі $3 мільйонів доларів для зменшення шкоди.

Атрибуція та розслідування

Кілька джерел приписують атаку північнокорейським хакерам, зокрема групі Lazarus, також відомій як TraderTraitor. LayerZero визначила, що 18 квітня зловмисники націлилися на свою DVN (Децентралізована мережа валідаторів), шляхом отруєння підрядної RPC-інфраструктури. Зловмисники отримали доступ до списку RPC, що використовуються DVN, зкомпрометували два незалежні вузли, що працювали на окремих кластерах, і замінили бінарні файли, що запускали вузли op-geth.

Ця атрибуція узгоджується з усталеною моделлю цілеспрямованих атак Північної Кореї на криптовалютні платформи. За доступними даними, північнокорейські хакери викрали понад $2 мільярд у криптовалюті у 2025 році, що підсумовує їхній загальний здобуток з 2017 року приблизно до $6 мільярдів. Експерти з безпеки зазначають, що ця атака демонструє знайомий підхід Північної Кореї — терпляче проникнення, маніпуляцію довірою та пригнічення виявлення.

Гра у звинувачення: Kelp DAO проти LayerZero

Після інциденту виник спір між Kelp DAO і LayerZero щодо відповідальності за порушення безпеки. Kelp DAO стверджувала, що налаштування за замовчуванням LayerZero були причиною масштабної катастрофи, натякаючи, що конфігураційні рішення провайдера інфраструктури створили вразливість. LayerZero заперечила, що відповідальність лежить на конкретних налаштуваннях Kelp DAO, і наголосила, що раніше повідомляла про найкращі практики диверсифікації DVN.

Ця суперечка підкреслює складність відповідальності у децентралізованих фінансах, де кілька сторін сприяють безпеці інфраструктури взаємопов’язаних протоколів. Інцидент піднімає важливі питання щодо розподілу відповідальності між розробниками протоколів і провайдерами інфраструктури у екосистемі DeFi.

Ширші наслідки для DeFi

Злом Kelp DAO підштовхнув загальні збитки від експлуатацій у DeFi за квітень 2026 року понад $600 мільйонів, зробивши цей місяць одним із найшкідливіших у історії криптовалют. Цей інцидент слідує за експлуатацією Drift Protocol 1 квітня 2026 року, що призвело до приблизно $285 мільйонів збитків, також приписаних північнокорейським хакерам.

Атака знову підняла питання безпеки міжланцюгових мостів, які історично були одними з найуразливіших компонентів інфраструктури DeFi. Незважаючи на численні аудити та заходи безпеки, мости продовжують залишатися привабливими цілями для складних зловмисників через їхню складність і великі обсяги цінностей, що вони захищають.

Інцидент також розкрив взаємозалежність сучасних протоколів DeFi. Що почалося як атака на міст Kelp DAO швидко переросло у кризу ліквідності та погане боргове навантаження на кількох платформах, демонструючи, як уразливості одного протоколу можуть створювати системні ризики по всій екосистемі.

Реакція спільноти та вплив на ринок

Криптоспільнота відреагувала занепокоєнням і самоаналізом після злома. Фраза "DeFi мертвий" поширилася у соцмережах, оскільки користувачі зіштовхнулися з наслідками ще однієї великої експлуатації. Ціна Ethereum 17 квітня 2026 року знизилася до $2,300, а ринкові прогнози закладають подальву волатильність.

Цей злом викликав заклики до посилення заходів безпеки, покращення дизайну мостів і більшої прозорості у протоколах DeFi. Учасники галузі все більше визнають, що сучасний підхід до міжланцюгової взаємодії може потребувати фундаментального переосмислення для досягнення стандартів безпеки, необхідних для масового впровадження.

Уроки та майбутні роздуми

Злом мосту Kelp DAO є яскравим нагадуванням про ризики, що існують у міжланцюгових протоколах DeFi. З цього інциденту випливають кілька ключових уроків:

По-перше, складність міжланцюгових мостів створює численні вектори атак, які складні актори можуть використати. Незважаючи на аудити та перевірки безпеки, взаємодія між різними блокчейнами і протоколами повідомлень вводить уразливості, які можуть бути непомітними під час стандартних оцінок безпеки.

По-друге, взаємозалежність протоколів DeFi означає, що експлуатації можуть швидко поширюватися, посилюючи шкоду за межами початкового порушення. Цей системний ризик вимагає скоординованих механізмів реагування і покращеної ізоляції між протоколами.

По-третє, атрибуція до державних хакерів підкреслює змінюваний ландшафт загроз у криптобезпеці. Актори-держави з великими ресурсами і терпінням становлять принципово іншу проблему, ніж окремі хакери або кримінальні групи.

По-четверте, суперечка між Kelp DAO і LayerZero підкреслює необхідність більш чітких рамок відповідальності у інфраструктурі DeFi. Коли кілька сторін сприяють безпеці протоколу, визначення відповідальності за збої стає складним і може затримувати ефективне реагування і відновлення.

Висновок

Злом мосту Kelp DAO є переломним моментом для індустрії DeFi у 2026 році. З майже $300 мільйонами вкрадених коштів і каскадними ефектами по кількох протоколах, цей інцидент розкрив критичні вразливості міжланцюгової інфраструктури і підкреслив складні можливості державних загроз. Поки галузь продовжує боротися з наслідками, цей напад слугує потужним нагадуванням, що безпека має залишатися пріоритетом у розробці децентралізованих фінансових систем. Шлях вперед вимагатиме не лише технічних покращень, а й фундаментальних змін у підходах до управління ризиками, відповідальністю і міжпротокольної координації.