🚨 #KelpDAOBridgeHacked — Крах DeFi, потрясший безопасность кросс-чейн систем до самой сути

Экосистема DeFi вновь была потрясена масштабным нарушением безопасности, когда инфраструктура кросс-чейн моста KelpDAO была использована в одном из самых серьезных атак 2026 года, в результате которой было потеряно примерно 116 500 rsETH токенов, оцененных почти в $292–$300M миллионов.

Этот инцидент быстро стал одним из ключевых моментов в истории безопасности децентрализованных финансов, не только из-за масштаба, но и потому, что он выявил хрупкие основы межцепочечной совместимости.

В отличие от изолированных ошибок смарт-контрактов, эта уязвимость раскрыла более глубокий структурный недостаток в том, как современные DeFi системы валидируют и передают ценность между блокчейнами.

---

🔍 Анатомия уязвимости — как разворачивалась атака

Взлом был направлен на архитектуру кросс-чейн моста KelpDAO, особенно на путь передачи rsETH, соединяющий Unichain и основную сеть Ethereum. В основе системы лежало использование стандарта сообщений LayerZero OFT, предназначенного для обеспечения бесшовной межцепочечной совместимости.

Однако под этим казавшимся надежным дизайном скрывался критический недостаток: конфигурация сети децентрализованных проверяющих $294 DVN( с одним узлом.

Это означало:

> Один узел-проверяющий имел полную власть одобрять или отклонять межцепочечные сообщения.

На практике это создавало централизованный узкий проход, маскируемый под децентрализацию.

---

⚡ Этап 1: Атака инфраструктуры

Злоумышленники начали с выявления слабых точек внецепочечной инфраструктуры:

Компрометация нескольких RPC-узлов, подающих данные системе

Внедрение вредоносных скриптов для манипуляции проверкой сообщений

Целенаправленное нарушение работы здоровых RPC-эндпоинтов

Это вынудило систему перейти в деградированный режим, при котором оставались активными только скомпрометированные потоки данных.

---

⚡ Этап 2: Манипуляция данными и захват проверки

Получив контроль над входными данными, злоумышленники создали ложную среду консенсуса:

Подделка межцепочечных транзакционных сообщений

Внедрение фальшивых «валидных» запросов на перевод

Передача искаженных данных напрямую в единственный узел-проверяющий

Без резервного слоя проверки система фактически начала доверять входным данным, контролируемым злоумышленниками, как легитимной коммуникации блокчейна.

---

⚡ Этап 3: Выполнение фальшивых межцепочечных вызовов

Скомпрометированный проверяющий одобрил вредоносные вызовы lzReceive)( на контракте EndpointV2 LayerZero.

Это привело к:

Майнингу 116 500 неподдерживаемых rsETH токенов

Немедленному выпуску активов в кошельки злоумышленников

Отсутствию проверки обеспечения залога

На этом этапе мост фактически был обманут, создавая ценность из воздуха.

---

⚡ Этап 4: Маскировка следов

После выполнения:

Малварные компоненты автоматически удалялись

Логи частично стирались или повреждались

Векторы атаки становились сложнее восстанавливать в реальном времени

Злоумышленники обеспечили максимальную задержку в судебной экспертизе перед перемещением средств между цепочками.

---

💰 Пост-эксплуатационное перемещение — Быстрая мульти-цепочечная отмывка

В течение минут после атаки злоумышленники начали агрессивную стратегию распределения ликвидности.

Украденный rsETH был:

Внесен на крупные платформы DeFi для кредитования

Использован в качестве залога на нескольких протоколах

Задействован для заимствования более )миллионов в WETH

📊 Ключевая уязвимость протоколов:

Aave V3 & V4

Compound V3

Euler Finance

SparkLend

Fluid

Upshift

Стратегия была ясной:

> Преобразовать синтетические украденные активы в реальный, ликвидный ETH до того, как системы защиты смогут среагировать.

---

🔄 Распределение по цепочкам

Средства затем быстро были переведены и разделены между экосистемами:

Основная сеть Ethereum $236 ~(преобразована$178M

Arbitrum )~(перемещена$72M

Дополнительное дробление по базовым, Linea, Blast и другим L2 сетям

Это создало сценарий мульти-цепочечного загрязнения, при котором украденная ликвидность стало трудно изолировать или заморозить.

---

⚠️ Системный шок — Эффекты по всей DeFi

Немедленный эффект не ограничился только KelpDAO. Вся экосистема DeFi испытала синхронизированный стресс ликвидности.

---

📉 Общий спад заблокированных активов

За 48 часов:

Общий TVL DeFi снизился на $13–)миллиардов

Рынки кредитования резко сократились

Поставщики ликвидности начали снижать риски по протоколам

---

🏦 Шок на рынке кредитования

Aave пережил один из своих самых значительных событий с ликвидностью:

Выводено $6–$8.45 миллиардов депозитов

Рынки rsETH заморожены на V3 и V4

Временный дисбаланс ликвидности в пулах залога

Другие платформы быстро последовали:

SparkLend приостановил операции

Fluid и Euler ограничили экспозицию

Upshift приостановил новые заимствования

---

🧊 Заморозка рыночных настроений

Психологический эффект был мгновенным:

Усиление страха перед кросс-чейн мостами

Институциональный капитал сократил экспозицию к LST деривативам

Розничные трейдеры перешли к хранению стейблкоинов

Модели риска по протоколам были пересчитаны за ночь

---

🛡️ Аварийное реагирование — Быстрая, но реактивная защита

KelpDAO отреагировал в течение минут, но ущерб уже распространился.

⏱️ Таймлайн реакции:

18:21 UTC — Основные контракты остановлены через мультисиг

~46 минут после обнаружения первоначальной уязвимости

Дополнительные попытки атаки заблокированы $14 ~80 000 rsETH вместе(

Между тем:

Aave заморозил пострадавшие рынки

Lido приостановил депозиты earnETH

Ethena временно приостановила работу LayerZero моста

Хотя локализация была частичной, начальная фаза извлечения ценности уже завершилась.

---

⚖️ Конфликт атрибуции — кто виноват?

Последующие события быстро переросли в спор о вине между KelpDAO и LayerZero.

🧩 Позиция KelpDAO:

Заявляет, что стандартная конфигурация DVN была небезопасной

Указывает, что документация недооценивала реальные риски

Предлагает рассмотреть архитектурные недостатки в модели проверки

🧩 Позиция LayerZero:

Заявляет, что KelpDAO неправильно настроил параметры безопасности

Подчеркивает отклонение от рекомендуемых стандартов децентрализации

Выделяет ответственность пользователя за настройки

---

🕵️‍♂️ Атрибуция злоумышленника

LayerZero и независимые аналитики связали атаку с:

> Группой Lazarus )кибероперации, связанные с Северной Кореей(

Поддерживающие показатели включали:

Финансирование Tornado Cash до атаки

Известные схемы отмывания, соответствующие предыдущим взломам

Использование межцепочечных техник маскировки в ранних кампаниях

Однако полная атрибуция все еще находится в стадии расследования.

---

🧠 Структурный сбой — что на самом деле показывает этот взлом

Помимо финансовых потерь, этот инцидент выявил более глубокую архитектурную проблему в DeFi:

🔴 Проблема ложной децентрализации

Многие системы, обозначенные как «децентрализованные», все еще полагаются на:

Один узел-проверяющий

Централизованные механизмы резервирования

Слабую избыточность в проверке сообщений

Это создает скрытые центральные точки отказа.

---

🔴 Риск сложности межцепочечной работы

По мере роста DeFi в мульти-цепочечной среде:

Атака расширяется экспоненциально

Стандартизация проверки усложняется

Предположения о безопасности рушатся под реальным стрессом

---

🔴 Загрязнение совместимости

Поскольку протоколы DeFi глубоко взаимосвязаны:

Один скомпрометированный актив становится залогом в других местах

Плохие долги распространяются по нескольким платформам

Риск становится системным, а не изолированным

---

📊 Более широкие последствия для индустрии

Взлом KelpDAO уже меняет дискуссии о безопасности DeFi.

Ожидаемые изменения в индустрии:

Обязательные дизайны мостов с несколькими проверяющими

Расширение использования многоподписных слоев проверки

Усиление систем мониторинга в реальном времени

Снижение зависимости от доверия к одному цепочечному механизму

---

🔐 Эволюция аудита безопасности

Теперь ожидается, что аудит будет включать не только:

Проверку кода смарт-контрактов

Но и полное моделирование инфраструктуры межцепочечной связи

---

🔮 Долгосрочные перспективы — будущее безопасности кросс-чейн систем

Этот инцидент, вероятно, станет поворотным моментом в проектировании архитектуры DeFi.

Возможные направления развития:

Полностью децентрализованные системы проверки с несколькими узлами

Механизмы межцепочечной передачи без доверия

Модели проверки мостов на основе доказательств на цепочке

Снижение зависимости от внецепочечной агрегации RPC

Однако эти улучшения потребуют времени, капитала и координации между экосистемами.

---

🚨 Итоговая мысль — системное предупреждение для DeFi

Событие )— это не просто взлом, а сбой структурного стресс-теста самой системы межцепочечных финансов.

Оно показывает, что:

Безопасность зависит от самой слабой проверяющей системы

«Децентрализованность» не всегда означает «распределение риска без уязвимостей»

Компонентность может усиливать как инновации, так и системные коллапсы

---

🧭 Заключительная перспектива

В развивающемся мире децентрализованных финансов главные риски уже не связаны только с ошибками смарт-контрактов — это архитектурные предположения, которые не выдерживают условий противоборства.

Взлом KelpDAO, скорее всего, станет не только предметом изучения как нарушение безопасности, но и как ключевой кейс о том, как при концентрации доверия в скрытых слоях инфраструктуры системы могут рухнуть.

И в DeFi, как показал этот случай:

> Мост зачастую более уязвим, чем цепочка, к которой он подключен.