Вы не покупали rsETH, но ваш WETH был заморожен.

Введение

Ключевые моменты:

• В период с 13 по 19 апреля 2026 года зафиксировано четыре атаки, затронувшие цепочки Ethereum, Unichain, Arbitrum и NEAR, с общими потерями примерно $310 млн.
• Векторы атак включают токсикацию RPC-инфраструктуры для LayerZero DVN, подделку доказательств MMR, злоупотребление знаковыми целыми в страховых фондах и использование циклических маршрутов обмена в протоколах маржинальной торговли.
• Инцидент с KelpDAO (потеря $290 млн) показывает, что безопасность межцепочечных мостов вышла за рамки смарт-контрактов и распространяется на инфраструктуру вне цепочки. Цепочки с замороженными WETH и принудительные смены состояний в Arbitrum дополнительно демонстрируют, как композиционность усиливает уязвимости единой точки отказа и где на самом деле лежит граница доверия в “децентрализованных” системах.

За последнюю неделю (13.04.2026 - 19.04.2026) BlockSec обнаружила и проанализировала четыре атаки, с общими потерями около $310 млн. Ниже приводится сводка этих событий, а в следующих разделах — их подробный разбор.

Таблица 1: Обзор обнаруженных на этой неделе четырех атак

Основные моменты недели: KelpDAO

Эта инцидент выбран в качестве ключевого, поскольку он демонстрирует новые инфраструктурные векторы атак (токсикация RPC для единственного DVN, а не уязвимости смарт-контрактов), цепную реакцию через DeFi-композабельность и проблему управления, вызванную принудительной сменой состояния в Arbitrum для возврата украденных средств.

18 апреля 2026 года был осуществлен взлом межцепочечного моста rsETH LayerZero OFT KelpDAO, с потерями около $290 млн. LayerZero Labs объяснили это атакой, предположительно поддерживаемой государством, — возможно, группой Lazarus из Северной Кореи [1]. Основная причина — конфигурация DVN KelpDAO как 1-из-1, что сводит проверку межцепочечных сообщений к единственному узлу доверия. Атакующий токсикацией RPC-инфраструктуры LayerZero Labs заставил доверять поддельному сообщению, подписанному одним узлом, что привело к выпуску 116,500 rsETH на Ethereum, несмотря на отсутствие соответствующего события отправки на исходной цепочке Unichain.

Фон

LayerZero — протокол межцепочечных сообщений с модульной архитектурой безопасности. Его целостность обеспечивается децентрализованной сетью валидаторов (DVN), которая на внецепочечной инфраструктуре проверяет, что сообщения действительно отправлены с исходной цепочки, прежде чем разрешить их выполнение на целевой. Каждое приложение на LayerZero настраивает свой DVN, выбирая доверенных валидаторов, число участников и порог консенсуса. Эта модульность дает приложениям полный контроль над моделью безопасности, но и ответственность: слабая конфигурация не может быть компенсирована протоколом.

rsETH KelpDAO — это OFT (полностью переносимый токен), размещенный на LayerZero, с маршрутизацией моста между Unichain (источник) и Ethereum (цель). Стандарт OFT позволяет уничтожать токены на исходной цепочке и выпускать их на целевой, а межцепочечное сообщение — единственное основание для разрешения выпуска. Адаптер Ethereum (0x85d456…e98ef3) отвечает за выпуск rsETH после проверки и передачи межцепочечного сообщения. Важный момент — конфигурация этого пути как 1-из-1 DVN, где единственным валидатором выступает LayerZero Labs. Это означает, что один узел может одобрить выпуск токенов без второго подтверждения.

Для выполнения проверки LayerZero Labs обращается к нескольким RPC-узлам, чтобы подтвердить факт отправки события на исходной цепочке. Эти узлы включают как собственную инфраструктуру, так и сторонних провайдеров, и доверие основано на предположении, что большинство ответов — достоверны.

Анализ уязвимости

Эта уязвимость — системный сбой инфраструктуры и конфигурации, состоящий из трех взаимосвязанных слабых мест:

1. Конфигурация 1-из-1 DVN исключает избыточность проверки. Рекомендуемый LayerZero режим предполагает использование нескольких валидаторов, чтобы один узел не мог одобрить сообщение в одиночку. Конфигурация только с LayerZero Labs делает систему уязвимой к компрометации этого единственного валидатора.

2. Механизм переключения DVN при сбое маршрутизирует запросы к любому доступному RPC-узлу. Эта модель предполагает, что сбои — случайные, а не целенаправленные. Однако злоумышленник может DDoS-атакой вывести из строя здоровые узлы и подготовить токсичные, чтобы они стали единственным доступным источником данных, полностью контролируемым злоумышленником.

3. Замена исполняемого файла op-geth на RPC-сервере требует доступа к ОС сервера. Точные начальные векторы доступа не раскрыты, но взлом двух узлов на отдельных кластерах указывает на общие слабости в управлении доступом или уязвимости в инфраструктуре.

Эти три условия образуют цепочку атаки: первый — отсутствие резервных валидаторов, второй — возможность контролировать данные через DDoS и токсичные узлы, третий — наличие уязвимостей в серверной инфраструктуре. Каждое из них по отдельности недостаточно, чтобы осуществить атаку, но вместе — позволяют полностью контролировать процесс.

Без конфигурации 1-из-1, проверка данных второго валидатора отклонила бы поддельные сообщения; без механизма переключения — здоровые узлы бы отказались от токсичных; без взлома серверов — невозможно было бы внедрить поддельные данные.

Анализ атаки

Исходя из транзакции 0x1ae232…4222 и официальных заявлений LayerZero Labs, сценарий следующий:

Шаг 1: Атакующий получает список RPC-узлов, доверенных LayerZero Labs. Это важная разведданная, поскольку знание точных узлов позволяет планировать точечные атаки, а не массовое разрушение инфраструктуры.

Шаг 2: Атакующий получает права на запись на двух RPC-узлах и заменяет их бинарные файлы op-geth на вредоносные версии. Эти узлы расположены в отдельных кластерах, что указывает на возможное совместное использование уязвимых зависимостей (например, компрометированные ключи, CI/CD, социальная инженерия). Точные методы первоначального доступа не раскрыты.

Шаг 3: Вредоносные бинарные файлы реализуют селективную логику: возвращают поддельные транзакционные данные только для IP-адресов DVN, а для остальных — достоверную информацию о состоянии цепочки. Такой выборочный токсикоз делает атаку невидимой для систем мониторинга.

Шаг 4: Внутренний консенсус DVN требует согласия между токсичными и чистыми узлами. В период атаки (с 10:20 до 11:40 по Тихоокеанскому времени) злоумышленник инициирует DDoS-атаку на оставшиеся здоровые узлы, вызывая переключение DVN на токсичные