#KelpDAOBridgeHacked

18 квітня 2026 року Kelp DAO став жертвою найбільшої криптовалютної експлуатації року, коли хакери зняли приблизно 292-294 мільйони доларів з його міжланцюгової інфраструктури моста. Атака була спрямована на міст протоколу, який працює на технології LayerZero, що дозволяє передавати rsETH (застейканий Ефір) токени через кілька блокчейн-мереж. Ця інцидент є значним порушенням у децентралізованій фінансовій екосистемі і спричинив шок у криптоспільноті.
Що таке Kelp DAO
Kelp DAO функціонує як протокол ліквідного повторного ставлення, що дозволяє користувачам вносити популярні токени для стейкінгу, такі як stETH або cbETH, в обмін на токени rsETH. Ці токени rsETH представляють "повторно застейканий" Ефір, що дає змогу користувачам отримувати доходи з їхніх неробочих криптовалютних інвестицій, зберігаючи ліквідність. Інфраструктура моста протоколу, побудована за допомогою технології LayerZero, сприяє переміщенню цих токенів через понад 20 різних блокчейн-мереж, включаючи Base, Arbitrum, Linea, Blast, Mantle і Scroll.
Механізм атаки
Експлуатація сталася через складну маніпуляцію системою міжланцюгових повідомлень. Зловмисники змогли надіслати фальшиві міжмережеві повідомлення, які здавалося, були дійсними інструкціями, що спровокувало систему на переказ 116 500 rsETH на адресу зловмисника. Ця сума становила приблизно 18% від загального обігу rsETH на момент атаки.
Експерти з безпеки з Cyvers пояснили, що зловмисник використав уразливості валідації стану та передачі повідомлень, щоб обійти заходи безпеки і витягти заставу. Техніка дозволила створити непідкріплені токени rsETH, які потім використовувалися для позичання реальних активів, таких як ETH. Цей механізм демонструє, як експлуатація міжланцюгових мостів може швидко масштабуватися, створюючи не лише порушення одного протоколу, а й міжпротокольну епідемію, що впливає на кілька платформ одночасно.
Негайна реакція та контроль збитків
Виявивши підозрілу міжланцюгову активність, що стосується rsETH, Kelp DAO негайно призупинив усі контракти rsETH у мережі Ethereum і кількох мережах другого рівня. Протокол координував дії з LayerZero, Unichain, аудиторами та експертами з безпеки для аналізу причин. Ця екстрена реакція допомогла обмежити подальші збитки, але не могла повернути вже вкрадені активи.
Атака спричинила екстрені замороження на кількох платформах DeFi. Найбільший протокол кредитування DeFi, Aave, заморозив свої ринки rsETH як в Ethereum, так і в Arbitrum, щоб запобігти додатковим збиткам. За оцінками галузі, Aave може зазнати потенційних втрат від $123 мільйонів до $230 мільйонів доларів через цю інцидент. Lido повідомила про приблизно 21,6 мільйона доларів у ризику через позикові позиції і зазначила, що може використати буфер втрат у $3 мільйонів доларів для зменшення збитків.
Атрибуція та розслідування
Кілька джерел приписують атаку хакерам з Північної Кореї, зокрема групі Lazarus, також відомій як TraderTraitor. LayerZero визначила, що 18 квітня зловмисники націлилися на свою DVN (Децентралізована мережа валідаторів), шляхом отруєння інфраструктури RPC. Зловмисники отримали доступ до списку RPC, що використовуються DVN, зкомпрометували два незалежні вузли, що працювали на окремих кластерах, і замінили бінарні файли, що запускали вузли op-geth.
Ця атрибуція відповідає встановленій схемі Північної Кореї щодо цілеспрямованих атак на криптовалютні платформи. За доступними даними, хакери з Північної Кореї викрали понад $2 мільярдів у криптовалюті у 2025 році, що підсумовує їхній загальний здобуток з 2017 року приблизно до $6 мільярдів. Експерти з безпеки зазначають, що ця атака демонструє знайомий підхід Північної Кореї — терпляче проникнення, маніпуляцію довірою та пригнічення виявлення.
Гра у звинувачення: Kelp DAO проти LayerZero
Після інциденту виник спір між Kelp DAO і LayerZero щодо відповідальності за порушення безпеки. Kelp DAO стверджувала, що налаштування за замовчуванням LayerZero були справжньою причиною масштабної катастрофи, натякаючи, що конфігураційні рішення провайдера інфраструктури створили вразливість. LayerZero заперечила, що провина лежить на конкретній налаштуванні Kelp DAO, і наголосила, що раніше повідомляла про найкращі практики диверсифікації DVN для Kelp DAO.
Ця суперечка підкреслює складність відповідальності у децентралізованих фінансах, де кілька сторін сприяють безпеці інфраструктури взаємопов’язаних протоколів. Інцидент піднімає важливі питання щодо розподілу відповідальності між розробниками протоколів і провайдерами інфраструктури у DeFi.
Ширші наслідки для DeFi
Злом Kelp DAO підштовхнув загальні збитки від експлуатацій у DeFi за квітень 2026 року понад $600 мільйонів, зробивши цей місяць одним із найшкідливіших у історії криптовалют. Цей інцидент слідує за експлуатацією Drift Protocol 1 квітня 2026 року, що спричинило приблизно $285 мільйонів збитків, також приписуваних хакерам з Північної Кореї.
Атака знову підняла питання безпеки міжланцюгових мостів, які історично були одними з найуразливіших компонентів інфраструктури DeFi. Незважаючи на численні аудити та заходи безпеки, мости продовжують залишатися привабливими цілями для складних зловмисників через їхню складність і великі обсяги цінностей, що вони захищають.
Інцидент також розкрив взаємозалежність сучасних протоколів DeFi. Що почалося як атака на міст Kelp DAO, швидко переросло у кризи ліквідності та погані борги на кількох платформах, демонструючи, як уразливості одного протоколу можуть створювати системні ризики по всій екосистемі.
Реакція спільноти та вплив на ринок
Криптоспільнота відреагувала з занепокоєнням і саморефлексією після злома. Фраза "DeFi мертвий" поширилася у соцмережах, оскільки користувачі обговорювали наслідки ще одного масштабного експлуатаційного випадку. Ціна Ethereum знизилася до $2,300 17 квітня 2026 року, а ринкові прогнози закладали подальву волатильність.
Цей експлуатаційний випадок спонукав до закликів підвищити заходи безпеки, покращити дизайн мостів і підвищити прозорість у протоколах DeFi. Учасники галузі все більше визнають, що сучасний підхід до міжланцюгової взаємодії може потребувати фундаментального переосмислення для досягнення необхідних стандартів безпеки для масового впровадження.
Уроки та майбутні роздуми
Злом моста Kelp DAO є яскравим нагадуванням про ризики, що існують у міжланцюгових протоколах DeFi. З цього інциденту випливають кілька ключових уроків:
По-перше, складність міжланцюгових мостів створює кілька векторів атак, які складні актори можуть використати. Незважаючи на аудити та перевірки безпеки, взаємодія між різними блокчейн-мережами та протоколами повідомлень вводить уразливості, які можуть бути непомітними під час стандартних оцінок безпеки.
По-друге, взаємозалежність протоколів DeFi означає, що експлуатації можуть швидко поширюватися на кілька платформ, посилюючи шкоду понад початковий порушення. Цей системний ризик вимагає скоординованих механізмів реагування та покращеної ізоляції між протоколами.
По-третє, приписування державним хакерам підкреслює змінюваний ландшафт загроз у криптовалютній безпеці. Державні актори із значними ресурсами і терпінням становлять принципово іншу проблему, ніж окремі хакери або кримінальні групи.
По-четверте, суперечка між Kelp DAO і LayerZero підкреслює необхідність у чіткіших рамках відповідальності у інфраструктурі DeFi. Коли кілька сторін сприяють безпеці протоколу, визначення відповідальності за збої стає складним і може затримувати ефективне реагування та відновлення.
Висновок
Злом моста Kelp DAO є переломним моментом для індустрії DeFi у 2026 році. З майже $300 мільйонами вкрадених коштів і каскадними ефектами по кількох протоколах, цей інцидент розкрив критичні вразливості міжланцюгової інфраструктури і підкреслив складні можливості державних загроз. Поки галузь продовжує боротися з наслідками, цей випадок слугує потужним нагадуванням, що безпека має залишатися пріоритетом у розробці децентралізованих фінансових систем. Шлях вперед вимагатиме не лише технічних покращень, а й фундаментальних змін у підходах галузі до управління ризиками, відповідальності та міжпротокольної координації.