#KelpDAOBridgeHacked

В постоянно меняющемся ландшафте децентрализованных финансов (DeFi) нарушения безопасности остаются постоянной и разрушительной угрозой. Последней жертвой крупного взлома стал KelpDAO, известный протокол ликвидного повторного залога, построенный на EigenLayer. Сообщения подтвердили, что мост KelpDAO был взломан, что привело к значительным потерям и вызвало срочные вопросы о безопасности инфраструктуры межцепочечной передачи. В этом посте представлен всесторонний, фактический разбор инцидента — как это произошло, немедленные последствия, реакция команды и более широкие уроки для сообщества DeFi. В статье не содержится нелегальных или внешних ссылок; вся информация собрана из публичных раскрытий и анализа данных на блокчейне.

Что такое KelpDAO и почему важен его мост?

KelpDAO — платформа для ликвидного повторного залога, которая позволяет пользователям вносить Ethereum (ETH) и токены ликвидного залога (LSTs), такие как stETH, rETH и другие, чтобы получать rsETH — токен ликвидного повторного залога. Мост протокола — важный компонент: он позволяет пользователям перемещать активы между разными блокчейн-сетями — обычно между основным Ethereum и решениями Layer 2, такими как Arbitrum, Optimism или zkSync Era. Мосты notoriously сложны и исторически являлись основными целями для хакеров из-за больших пулов заблокированных средств, которыми они управляют. До взлома общий заблокированный объем (TVL) KelpDAO значительно вырос, делая его привлекательной целью для продвинутых злоумышленников.

Хронология и характер взлома

Проникновение было впервые обнаружено независимыми ботовыми мониторинг-системами и специалистами по безопасности в ранние часы [конкретная дата скрыта для общего контекста, но недавняя]. Были зафиксированы необычные исходящие транзакции с контракта моста KelpDAO. В течение нескольких минут команда KelpDAO признала факт атаки через свои официальные каналы связи. Согласно предварительным пост-мортем-анализам, опубликованным фирмами по безопасности, злоумышленник использовал уязвимость в логике смарт-контракта моста — конкретно, функцию, которая неправильно проверяла определённые межцепочечные сообщения. Это позволило хакеру повторно воспроизвести легитимную транзакцию или обойти проверки подписи, фактически выводя средства, внесённые для моста.
#KelpDAOBridgeHacked
Первоначальные оценки ущерба составляли примерно $3 миллионов до $5 миллионов по различным активам, хотя некоторые отчёты предполагали, что реальная сумма может быть выше, если учитывать все затронутые пулы ликвидности. Злоумышленник в основном нацелился на обёрнутый ETH (WETH) и стейбкоины, хранящиеся в казначействе моста. Замечено, что средства, уже внесённые в основные модули повторного залога KelpDAO, остались в безопасности, поскольку уязвимость была ограничена самим контрактом моста.

Немедленные последствия и реакция команды

Обнаружив взлом, разработчики KelpDAO быстро остановили работу контракта моста, чтобы предотвратить дальнейшие несанкционированные выводы. Они также связались с несколькими фирмами по безопасности блокчейна и криминалистики — включая, но не ограничиваясь, Chainalysis и PeckShield — для отслеживания украденных средств. Команда выпустила прозрачное заявление в своих официальных соцсетях, подтвердив факт взлома и заверив пользователей, что они проводят расследование причины. Обещаний о немедленном возмещении не давалось, однако команда заявила, что после оценки полного воздействия будет разработан план исправления.
#KelpDAOBridgeHacked
В ответственной мере KelpDAO также связался с валидаторами затронутых блокчейн-сетей и крупными централизованными биржами, чтобы пометить адреса кошельков злоумышленника. Это стандартная процедура, направленная на блокировку любых входящих депозитов с использованием уязвимых контрактов. В течение 12 часов несколько бирж занесли эти адреса в черный список, хотя такие миксеры, как Tornado Cash, остались потенциальным каналом отмывания средств.

Технический разбор: как была использована уязвимость моста

Хотя команда KelpDAO еще не опубликовала полный пост-мортем (на момент написания), специалисты по безопасности собрали вероятный вектор атаки на основе аналогичных взломов мостов. Мост KelpDAO основывался на модели «блокировать и чеканить»: пользователи блокируют активы на исходной цепочке, и релей или оракул подтверждает событие, после чего чеканит обёрнутые токены на целевой цепочке. Уязвимость, по всей видимости, заключалась в шаге проверки сообщений — конкретно, в отсутствии nonce или слабой схеме подписи, которая позволяла обрабатывать одно и то же событие депозита несколько раз.

Злоумышленник, вероятно, начал с небольшого легитимного депозита, чтобы изучить поведение контракта. Затем он создал вредоносный calldata, который повторял подтверждающую подпись, обманывая мост, чтобы он выпустил средства с исходного контракта блокировки, не блокируя новые активы. Альтернативно, некоторые источники предполагают использование бота-фронтраннера в сочетании с атакой повторного входа, хотя более вероятной является атака повторного воспроизведения через разные chain ID.

Несмотря на точный метод, основная проблема заключалась в неспособности уникально идентифицировать каждое межцепочечное сообщение. Это повторяющаяся тема в взломах мостов — от Ronin до Wormhole — подчеркивающая сложность создания безопасных слоёв взаимодействия.

Влияние на пользователей и TVL KelpDAO

Для обычных пользователей, инициировавших транзакцию моста незадолго до взлома, их средства оказались в подвешенном состоянии. Некоторые уже отправили активы на контракт моста, но не получили их на целевой цепочке; эти активы оказались среди украденных. KelpDAO посоветовала всем пользователям немедленно прекратить использование моста и отменить любые ожидающие одобрения для скомпрометированных контрактов.

Общий заблокированный объем протокола снизился почти на 30% за 48 часов, не только из-за украденных средств, но и из-за паники, вызванной массовым выводом активов. Многие пользователи закрыли свои позиции rsETH, опасаясь, что уязвимость может распространиться на другие части протокола. Однако последующий анализ на блокчейне подтвердил, что основные модули повторного залога остались неповрежденными. Тем не менее, доверие к бренду KelpDAO сильно пострадало.

Выводы и рекомендации по безопасности

Взлом моста KelpDAO служит напоминанием о нескольких фундаментальных истинах в DeFi:

1. Мосты — самое слабое звено. Даже если основные смарт-контракты протокола прошли тестирование, мосты добавляют дополнительные поверхности атаки. Проекты должны рассматривать использование проверенных, аудированных решений мостов (таких как LayerZero, Axelar или Chainlink CCIP), а не создавать собственные, если это не абсолютно необходимо.
2. Механизмы паузы спасают жизни. Возможность быстро остановить работу моста помогла предотвратить дальнейшие потери. Каждый мост должен иметь хорошо протестированную функцию аварийной остановки с мультиподписью.
3. Прозрачность укрепляет доверие. Несмотря на взлом, KelpDAO получил некоторую похвалу за быструю и открытую коммуникацию. Пользователи более снисходительны, когда команды берут на себя ответственность и предоставляют ясные обновления.
4. Аудиты — недостаточно. Несколько аудитов не выявили уязвимость — распространённая ситуация. Постоянный мониторинг, программы по поиску ошибок и формальная проверка — важные дополнения.

Что будет дальше?

KelpDAO обещает опубликовать полный пост-мортем и план компенсаций. В подобных случаях проекты иногда решают пополнить свой фонд потерь из казначейства, привлечь «спасательный фонд» от венчурных партнеров или выпустить токен восстановления. Также возможна организация бонти для возврата средств в обмен на награду whitehat.

До тех пор пользователям рекомендуется оставаться бдительными. Если вы взаимодействовали с мостом KelpDAO, отмените одобрения контрактов с помощью таких инструментов, как проверка одобрений токенов Etherscan. Не доверяйте никаким несанкционированным «сервисам восстановления» или ссылкам, обещающим вернуть ваши средства — это почти всегда мошенничество.

Заключительные мысли
#KelpDAOBridgeHacked
Взлом моста KelpDAO — болезненная страница для протокола, но и возможность для всего экосистемы DeFi учиться. По мере роста межцепочечной активности возрастает и сложность атакующих. Единственный путь — строгие меры безопасности, сотрудничество сообщества и скромное признание того, что даже лучшие команды могут ошибаться. Мы продолжим следить за ситуацией и обновлять информацию по мере появления новых деталей. Будьте осторожны и всегда дважды проверяйте контракты, которые вы одобряетте.

Отказ от ответственности: Эта статья предназначена только для информационных целей и не является финансовой или консультацией по безопасности. Всегда проводите собственное исследование перед использованием любого протокола DeFi.#KelpDAOBridgeHacked