#KelpDAOBridgeHacked

**Злом моста KelpDAO: всебічний аналіз DeFi-хакінгу на суму $292 мільйонів**

18 квітня 2026 року екосистема децентралізованих фінансів стала свідком одного з найзначущих порушень безпеки, коли міст rsETH, який працює на базі LayerZero у KelpDAO, був зламаний, що призвело до збитків приблизно на $292 мільйонів. Цей інцидент спричинив шок у сфері DeFi, викликавши ланцюг екстрених заходів у кількох кредитних протоколах і виявивши критичні вразливості у інфраструктурі міжланцюгових мостів.

**Механізм злома**

Приблизно о 17:35 за UTC 18 квітня зловмисник здійснив складний злом, націлений на міст rsETH у KelpDAO, який використовує технологію адаптера Omnichain Fungible Token (OFT) від LayerZero. Зловмисник зміг підробити міжланцюгове повідомлення через функцію lzReceive, фактично обійшовши механізми перевірки на основі Ethereum mainnet. Змусивши джерельний ланцюг ідентифікувати його як Unichain (EID 30320), зловмисник зміг випустити 116 500 непідкріплених токенів rsETH із ескроу мосту без відповідного депозиту на джерельному ланцюгу.

Основна причина цього злома була знайдена у крихкому конфігураційному режимі мережі Децентралізованого Верифікатора (DVN), яка базувалася на обмежених RPC-ендпойнтах. Ці ендпойнти, ймовірно, були скомпрометовані, що дозволило подавати неправдиві дані для перевірки у смарт-контракти мосту. Важливо, що на джерельному ланцюгу не відбулося фактичного згорання токенів, але міст помилково створив еквівалент rsETH на Ethereum mainnet. Хеш транзакції, що відповідає цьому зломові, — 0x1ae232da212c45f35c1525f851e4c41d529bf18af862d9ce9fd40bf709db4222, його можна відстежити через блокчейн-оглядачі, наприклад Routescan.

**Негайні наслідки та поширення у DeFi**

Замість того, щоб просто тримати викрадені rsETH, зловмисник одразу використав ці непідкріплені токени як заставу у кількох кредитних протоколах, перетворивши проблему безпеки мосту на системний інцидент у сфері DeFi. Викрадені rsETH були депоновані у ринки Aave V3 і V4 на Ethereum і Arbitrum, а також у таких платформах, як Compound V3, Euler і близько 30 інших. З цих позицій зловмисник позичив приблизно 83 427 WETH і wstETH, з яких 52 834 WETH було позичено на Ethereum mainnet і 29 782 WETH разом із 821 wstETH — на Arbitrum.

Ця агресивна стратегія кредитування створила значний ризик непогашених боргів у всій екосистемі DeFi. За оцінками, потенційні збитки коливаються між $120 мільйонами і $236 мільйонами доларів у постраждалих кредитних протоколах, причому найбільше постраждала Aave з потенційним боргом у $230 мільйонів. Це створило значний тиск на токен управління AAVE і поставило під сумнів практики управління ризиками великих кредитних платформ.

**Екстрені заходи реагування**

Реакція на цей злом була швидкою, але реактивною. Приблизно о 18:21 за UTC 18 квітня мульти-сигнальний гаманець KelpDAO здійснив блокування ключових контрактів rsETH на основних мережах і всіх Layer 2. Незабаром після цього Aave заблокував ринки rsETH у версіях V3 і V4, рішення якого швидко підтримали Spark, Fluid, Ethena, Upshift, Morpho та інші протоколи.

Засновник і CEO Aave, Стані Кулєчов, підтвердив через X, що rsETH було заблоковано як у V3, так і у V4, і актив був позбавлений всіх можливостей позичання у відповідь на злом мосту KelpDAO. Офіційний акаунт Aave зазначив, що спільнота має обговорити питання щодо можливого постійного виключення rsETH з усіх ринків Aave після завершення кризи, відповідно до практики, встановленої після попередніх випадків непогашених боргів.

**Атрибуція та технічний аналіз**

Фахівці з безпеки та аналітики блокчейну приписують цей напад групі Lazarus з Північної Кореї — державній хакерській групі, відомій цілеспрямованими атаками на криптоплатформи. Методологія атаки відповідає відомим тактикам Lazarus, включаючи цілеспрямоване проникнення, маніпуляції довірчими механізмами та пригнічення систем виявлення.

LayerZero Labs надали додаткові технічні деталі щодо вектора атаки. За їхнім аналізом, зловмисник отримав доступ до списку RPC-ендпойнтів, що використовуються їхньою інфраструктурою DVN, і згодом скомпрометував два незалежних вузли, що працювали на окремих кластерах без прямого зв’язку між собою. Зловмисник замінив бінарні файли, що працювали на вузлах op-geth, фактично контролюючи дані перевірки, що подавалися у контракти мосту.

Згідно з повідомленнями KelpDAO, вони звинуватили LayerZero у порушенні безпеки через інфраструктуру, тоді як LayerZero заперечує, що проблема виникла через специфічну конфігурацію DVN KelpDAO. LayerZero стверджує, що вони та інші зовнішні сторони раніше повідомляли про найкращі практики диверсифікації DVN, і правильна конфігурація могла б запобігти цьому зломові.

**Вплив на ринок і де-пейджинг rsETH**

Цей злом серйозно вплинув на ринкову позицію rsETH. Токен значно втратил прив’язку до свого цільового співвідношення ETH, що створило невизначеність для власників у більш ніж 20 блокчейнах, де розгорнуто обгортковий rsETH. Близько 18% циркулюючого запасу rsETH тепер становлять непідкріплені токени, що суттєво підірвало довіру до деривативу стейкінгу.

Загалом, у сфері DeFi збитки від зломів у 2026 році вже перевищують $750 мільйонів доларів станом на середину квітня. Цей злом KelpDAO перевищив попередній рекорд за 2026 рік, який належав Drift Protocol із $285 мільйонами, що стався 1 квітня, і становив кілька мільйонів доларів. Концентрація зломів мостів у 2026 році підкреслює постійні виклики безпеки у міжланцюговій інфраструктурі.

**Поточний стан і зусилля з відновлення**

На 21 квітня 2026 року KelpDAO і LayerZero активно співпрацюють над всебічним аналізом причин і підготовкою звіту після інциденту. KelpDAO підтвердили через офіційний акаунт у X, що працюють з LayerZero, Unichain, аудиторами безпеки та експертами з блокчейну для дослідження інциденту та розробки плану відновлення.

LayerZero заявили, що були в курсі інциденту з моменту його виникнення і активно працюють над його усуненням разом із командою KelpDAO. Вони підкреслюють, що інші застосунки, що використовують інфраструктуру LayerZero, залишаються безпечними, і детальний звіт буде оприлюднено у співпраці з KelpDAO та командою SEAL 911.

Адреси зловмисника, зокрема 0x1F4C1c2e610f089D6914c4448E6F21Cb0db3adeF, позначені на головних блокчейн-оглядачах і активно відстежуються для будь-яких рухів викрадених коштів. Однак, враховуючи складність атаки та участь державних акторів, перспективи відновлення залишаються невизначеними.

**Ключові висновки**

Цей злом став переломним моментом для безпеки DeFi, демонструючи, як вразливості мостів можуть спричинити системні ризики у всій екосистемі. Інцидент підкреслює важливість надійних конфігурацій DVN, диверсифікованих механізмів перевірки та проактивного управління ризиками у міжланцюгових протоколах. Для користувачів цей випадок є яскравим нагадуванням про ризики, пов’язані з обгортковими активами та взаємозалежністю сучасних кредитних ринків DeFi.

Ситуація продовжує розвиватися, і постраждалі протоколи працюють над кількістю збитків і розробкою стратегій відновлення. Користувачам рекомендується слідкувати за офіційними каналами KelpDAO, LayerZero та постраждалих кредитних платформ для оновлень щодо можливих планів компенсації або механізмів відновлення.