#KelpDAOBridgeHacked

Уязвимость моста KelpDAO — 18 апреля 2026 года: что произошло и текущий статус

18 апреля 2026 года протокол ликвидного повторного залога KelpDAO пострадал от одного из крупнейших DeFi-эксплойтов года, когда его кросс-чейн-мост был скомпрометирован. Злоумышленник смог вывести примерно 116 500 токенов rsETH, оцененных в примерно $292 миллионов на момент инцидента. Это крупнейший криптохак 2026 года на сегодняшний день, превзошедший эксплойт протокола Drift, произошедший ранее в апреле.

Как произошёл взлом

Атака использовала критическую уязвимость в инфраструктуре моста KelpDAO, основанной на LayerZero. Злоумышленник отправил поддельное межцепочечное сообщение в OFT-адаптер KelpDAO на основном Ethereum, ложно заявляя, что оно исходит от Unichain. Основной причиной стала серьёзная неправильная настройка системы безопасности моста. KelpDAO реализовал конфигурацию 1 из 1 DVN (Децентрализованная сеть проверяющих), полагаясь на единственного проверяющего LayerZero Labs без резервных или дополнительных проверяющих. Такой минимальный уровень безопасности позволил поддельному сообщению пройти проверку без препятствий, что вызвало выпуск необеспеченных токенов rsETH в кошелек злоумышленника.

Важно отметить, что это не было ошибкой в самом протоколе LayerZero. LayerZero V2 разработан как модульная система, позволяющая проектам выбирать собственный стек проверяющих. KelpDAO выбрал максимально минимальную конфигурацию безопасности, что оказалось катастрофичным.

Деятельность злоумышленника в DeFi

Получив необеспеченные rsETH, злоумышленник сразу же использовал их в качестве залога в нескольких протоколах DeFi для максимизации прибыли. На рынках Aave V3 и V4 на Ethereum и Arbitrum злоумышленник занял примерно 52 834 WETH на Ethereum и 29 782 WETH плюс 821 wstETH на Arbitrum. Также зафиксирована активность заимствований в протоколах Compound и Euler, что довело общую сумму украденных средств до более $200 миллионов. Украденные средства были впоследствии отмыты через Tornado Cash.

Мгновенные меры и контроль ущерба

KelpDAO обнаружил взлом примерно через час благодаря мониторингу в блокчейне, осуществляемому исследователями безопасности, включая ZachXBT. Протокол немедленно остановил работу мостов на Ethereum и других поддерживаемых цепочках, успешно заблокировав два последующих попытки атаки. KelpDAO выпустил публичное заявление, в котором выразил готовность к переговорам с злоумышленником в рамках белых хакерских инициатив.

Aave отреагировал, заморозив рынки rsETH на V3 и V4 на Ethereum и Arbitrum. Другие протоколы, такие как SparkLend, Fluid и Upshift, также приняли превентивные меры. Инцидент привёл к тому, что у Aave образовался долг в примерно $177 миллионов, в основном на Arbitrum, хотя рынки на Ethereum остаются обеспеченными залогом, но под угрозой распространения последствий. Lido приостановил депозиты earnETH в качестве меры предосторожности, а Ethena и USDT0 заранее остановили свои мосты, несмотря на отсутствие прямых рисков.

Возникли вторичные риски: использование ETH достигло 100% на Aave, что может задержать ликвидации и создать дисбаланс стимулов для заимствования.

Текущий статус и последствия

По состоянию на 19-20 апреля 2026 года держатели rsETH, связанные с мостом, могут столкнуться с вычетами в размере 15-20% в ожидании восстановления. Сообщество Aave активно обсуждает предложения по урегулированию плохого долга, ведутся дебаты о том, стоит ли отдельно рассматривать позиции на Arbitrum и Ethereum mainnet.

Инцидент служит ярким напоминанием для проектов DeFi о необходимости аудита конфигураций OApp и внедрения мульти-DVN с 3-4 проверяющими, а не полагаться на единую точку отказа. К счастью, другие проекты LayerZero OFT не пострадали от этой конкретной уязвимости.

Исследователи безопасности ожидают публикации полного анализа причин в ближайшие дни. Пользователям рекомендуется следить за официальными каналами KelpDAO, Aave и аналитиков по безопасности, таких как ZachXBT, для получения актуальных обновлений.