#KelpDAOBridgeHacked

Злом моста KELPDAO: $292 МІЛЬЙОННИЙ крос-ланцюговий катаклізм, що розкрив ахіллесову п’яту DeFi

Уявіть, що ви прокидаєтеся у суботу вдень і виявляєте, що майже $300 мільйон зник у повітрі — не через складну вразливість смарт-контракту, а через просте повідомлення, яке брехало. Саме так сталося 18 квітня 2026 року, коли крос-ланцюговий міст KelpDAO став жертвою найбільшого злом у DeFi за рік, зловмисники вивели 116 500 rsETH на суму приблизно $292 мільйон за всього 46 хвилин, спричинивши потрясіння у всій екосистемі децентралізованих фінансів і залишивши обгорнутий ефір застряглим на 20 різних блокчейнах. Атака була не просто складною — вона була хірургічною. Злочинці, пізніше приписані відомій групі Lazarus з Північної Кореї, витратили 8-10 годин на підготовку семи нових гаманців, фінансованих через Tornado Cash, створюючи основу для майстер-класу у крос-ланцюговій експлуатації. О 17:35 UTC вони атакували міст KelpDAO, який працював на базі LayerZero, що залежав від небезпечно централізованої конфігурації1-із-1 DVN (Децентралізована мережа перевіряльників) — єдиного вразливого пункту, який зловмисники чітко визначили як точку входу. Порушивши роботу двох RPC-нодів LayerZero і DDoS-атаці на третій, щоб примусити переключення на їхню отруєну інфраструктуру, хакери вставили сфальсифіковані крос-ланцюгові повідомлення, які обдурили міст, змусивши його вірити, що легітимні спалювання відбулися на вихідних ланцюгах, що спонукало контракт випустити непідкріплений rsETH безпосередньо у гаманці, контрольовані зловмисниками. Геніяльність цієї експлуатації полягала не у зломі коду, а у маніпулюванні довірчими припущеннями, на яких базувалася вся архітектура крос-ланцюгової взаємодії — менш ніж за шість хвилин після початкового витоку викрадені rsETH уже проходили відмивання у DeFi-просторі, депонувалися як застави на Aave V3 і V4, Compound, Euler і Morpho для позичання приблизно $236 мільйона ETH і WETH, поки ніхто не реагував. Поширення було миттєвим і жорстким: Aave заморозив свої ринки rsETH за кілька годин, оцінюючи потенційний борг у межах від $123 мільйона до $230 мільйонів, тоді як токен AAVE обвалився на 23%, а основні ринки досягли 100% використання, оскільки панічні користувачі поспішали зняти кошти. Але справжня історія тут — не лише крадіжка, а й гра у звинувачення, де LayerZero наполягає, що їхній протокол не має помилок і звинувачує конфігурацію1-із-1 DVN KelpDAO як винну, тоді як KelpDAO відповідає, що конфігурація 1-із-1 була стандартною налаштуванням LayerZero з січня 2024 року і що їхня RPC-інфраструктура була скомпрометована, зазначаючи, що приблизно 40% протоколів використовують подібні конфігурації без попереджень про вразливості. Дані розповідають лячну історію: Dune Analytics показала, що 47% з приблизно 2665 застосунків LayerZero наразі використовують конфігурації 1-із-1, що означає, що тисячі протоколів можуть чекати на свою бомбу сповільненої дії. Наслідки поширилися далеко за межі KelpDAO: за два тижні загальний TVL у DeFi втратив понад $600 мільйонів, а відтік коштів у розмірі від $8 до $10 мільярдів відбувся протягом 48 годин після інциденту, оскільки криптоспільнота зіткнулася з неприємною правдою — крос-ланцюгові мости залишаються найслабшим місцем DeFi, не через помилки смарт-контрактів, а через ризики інфраструктури, такі як отруєння RPC, про які більшість користувачів ніколи не задумуються. Ця атака стала парадигмальним зсувом у тому, як ми повинні думати про безпеку мостів: це був не злом коду, а операційний збій безпеки, нагадування, що у світі крос-ланцюгової взаємодії рівень перевірки повідомлень є лише так міцним, наскільки його найцентралізованіший компонент. Методологія Lazarus Group тут нагадує їхні попередні крипто-крадіжки, поєднуючи терпляче проникнення, маніпуляцію довірою і пригнічення виявлення у руйнівний пакет, що обійшов усі традиційні припущення безпеки. Для звичайних користувачів DeFi уроки є ясними і негайними: коли ви переносите активи між ланцюгами, ви не просто довіряєте смарт-контракту — ви довіряєте всій інфраструктурі перевірки, RPC-нодам, конфігураціям DVN і операційній безпеці кожного компонента цієї системи. Відповідь KelpDAO включала зупинку контрактів, чорний список зловмисників і блокування додаткових $95 мільйонів у подальших витоках, але довіра вже була зруйнована. Поки галузь бореться із цим сигналом тривоги, прискорюється рух до багатоконфігураційних DVN і диверсифікованих мереж перевірки, а LayerZero оголосила, що припиняє підтримку конфігурацій 1-із-1 повністю. Однак ширше питання залишається без відповіді: якщо майже половина застосунків LayerZero використовують уразливі конфігурації, скільки ще KelpDAO чекає на свою експлуатацію? $292 МІЛЬЙОННИЙ питання — це не лише про повернення вкрадених коштів, а й про те, чи зможе DeFi дорости до зрілості поза межами інфраструктурної юності, перш ніж наступна Lazarus Group постукає у двері.