Інструмент з відкритим кодом штучного інтелекту, який ніхто не дивиться, за 12 днів попередив про вразливість на суму 292 мільйони доларів у Kelp DAO

Автор: Zengineer

Переклад: Deep潮 TechFlow

Deep潮 огляд: 18 квітня 2026 року було викрадено 292 мільйони доларів у Kelp DAO — це найбільша DeFi-інцидент з 2026 року. Уразливість полягала не у коді контракту, а у конфігурації 1-із-1 верифікаційних вузлів LayerZero міжланцевого мосту — один зломлений вузол міг підробляти міжланцеві повідомлення. Автор 12 днів тому, використовуючи власний відкритий інструмент аудиту AI, вже позначив цей ризик. У цій статті детально розглядаємо хід атаки та чесно аналізуємо три помилки нашого інструменту на той момент.

Що таке Kelp DAO

Kelp DAO — протокол повторного залучення ліквідності, побудований на EigenLayer. Механізм такий: користувачі депонують ETH або токени повторного залучення (stETH, ETHx) у контракт Kelp, який потім делегує активи вузлам EigenLayer для повторного залучення — одночасно забезпечуючи безпеку для кількох сервісів AVS (Actively Validated Services, активних верифікаційних сервісів). У відповідь користувачі отримують rsETH як підтвердження. На відміну від прямого повторного залучення на EigenLayer (де активи блокуються), rsETH є ліквідним — його можна торгувати, використовувати як заставу у кредитних протоколах типу Aave, а також міжланцево.

Щоб реалізувати таку міжланцеву ліквідність, Kelp використовує стандарт LayerZero OFT (Omnichain Fungible Token, універсальний міжланцевий токен) і розгортає rsETH на понад 16 ланцюгах. Коли ви переносите rsETH з Ethereum на L2, DVN (Decentralized Verifier Network, децентралізована мережа верифікації) LayerZero перевіряє легітимність міжланцевого повідомлення. Саме ця архітектура мосту — ключова частина історії.

Kelp ініційовано Amitej Gajjala та Dheeraj Borra (колишні співзасновники Stader Labs), запущено у грудні 2023 року, піковий TVL — 2,09 мільярда доларів, управління здійснюється через мультипідпис 6/8 та 10-денний тайм-лок для оновлень контрактів. Токен управління KERNEL керує трьома лінійками продуктів: Kelp, Kernel, Gain.

Інцидент викрадення

18 квітня 2026 року з міжланцевого мосту Kelp DAO зняли 116 500 rsETH, що приблизно дорівнює 2,92 мільярда доларів — це найбільша DeFi-атака з 2026 року. Основна причина — не у вразливості смарт-контракту, а у конфігураційній помилці: налаштування DVN (один вузол, один підпис) дозволили зловмиснику підробляти міжланцеві повідомлення, використовуючи один зломаний вузол.

12 днів тому, 6 квітня, мій відкритий інструмент аудиту вже позначив цей ризик.

Зазначу одразу: ця крадіжка — результат людської помилки, реальні гроші втратили люди. Вкладники WETH у Aave, які ніколи не торкалися rsETH, залишилися з замороженими коштами; LP у кількох протоколах мають непогашені борги, які вони не підписували. У цій статті аналізуємо, що сталося, що наш інструмент виявив, а що — пропустив. Реальні збитки — важливіші за будь-які рейтинги.

Повний звіт доступний на GitHub, будь-хто може перевірити час коміту. Нижче — що ми виявили, що пропустили і що це означає для безпеки DeFi.

46 хвилин — шок для DeFi

За UTC 18 квітня о 17:35 зломщик зламав ізольований вузол DVN і змусив його “затвердити” підроблене міжланцеве повідомлення. Endpoint LayerZero побачив, що DVN підтвердив, і передав повідомлення через lzReceive у контракт OFT Kelp — контракт виконав свою роботу, і на основі цього у головному ланцюгу Ethereum було створено 116 500 rsETH. У повідомленні стверджувалося, що інші ланцюги заблокували еквівалентні активи як заставу — але ці активи ніколи не існували.

Далі — стандартна схема відмивання грошей у DeFi:

• Викрадені rsETH використовуються як застава у Aave V3, Compound V3, Euler
• На основі цих беззаставних застав беруться позики на суму близько 2,36 мільярда доларів у WETH
• Концентруючи близько 74 000 ETH, знімають їх через Tornado Cash

Через 46 хвилин, о 18:21, Kelp тимчасово зупинив контракт через мультипідпис. Зломщик двічі намагався повернути свої активи (по 40 000 rsETH, близько 1 мільярда доларів), але всі спроби були скасовані — тимчасова зупинка зупинила втрати приблизно 2 мільярди доларів.

Однак масштаб збитків був значним: Aave V3 зазнав борг у 1,77 мільярда доларів, ціна токена AAVE впала на 10,27%, ETH — на 3%. Використання WETH на Aave досягло 100%, і користувачі почали масово знімати кошти. rsETH на понад 20 ланцюгах став сумнівним активом.

6 квітня — що показав наш звіт

На початку квітня, незабаром після крадіжки 2,85 мільярда доларів у Drift Protocol, я створив відкритий інструмент — crypto-project-security-skill — AI-підтримувану рамку оцінки ризиків архітектури, що базується на відкритих даних (DeFiLlama, GoPlus, Safe API, on-chain verification). Це не сканер коду і не формальна верифікація. Інцидент з Drift показав: найбільші втрати — не у коді, а у конфігураціях, управлінських помилках і архітектурних прогалинах, які не видно звичайним сканерам. Тому я створив інструмент для оцінки саме цих рівнів: управління, залежностей від оракулів, економічних механізмів, міжланцевої архітектури, порівнюючи з атаками на Drift, Euler, Ronin, Harmony, Mango.

6 квітня я провів повний аудит Kelp DAO. Повний звіт — відкритий на GitHub з незмінним часом коміту.

Загальна оцінка — 72/100 (середній ризик). Згодом зрозуміло, що ця оцінка була занизькою — кілька нерозкритих міжланцевих ризиків мали б знизити бал. Але навіть за середнім ризиком, у звіті було вказано на той самий ризик, що і в реальності.

Нижче — цитата з розділу “інформаційні прогалини” у звіті — саме там, щодо конфігурації DVN Kelp, і причина викрадення на 2,92 мільярда доларів:

Знімок: у розділі “інформаційні прогалини” звіту від 6 квітня прямо вказано, що конфігурація DVN непрозора.

Розглянемо по пунктах, що було позначено і як це було зламано.

1. Непрозора конфігурація DVN (передбачуваний сигнал)

Звіт: “Конфігурація LayerZero DVN (набір валідаторів для кожного ланцюга, порогові вимоги) не оприлюднена.”

Що сталося: Kelp використовував конфігурацію 1-із-1 — один вузол. Один пункт у системі. Зломщик, захопивши цей один вузол, міг підробляти повідомлення. Якби конфіг був 2-із-3 (рекомендовано галуззю), зломщику потрібно було б зламати щонайменше два незалежних валідатори.

Пояснення: Це — проблема Kelp, а не LayerZero. LayerZero — інфраструктура, вона надає фреймворк DVN, а протоколи самі обирають конфігурацію: кількість вузлів, кого залучати, порогові значення. Kelp обрав 1-із-1. LayerZero підтримує 2-із-3 і вище — це вибір Kelp, а не обов’язок LayerZero.

Приклад: AWS пропонує MFA (мультифакторну автентифікацію). Якщо ваш акаунт зламаний через відсутність MFA — це ваша помилка, а не AWS. LayerZero — базова інфраструктура, вона забезпечує безпеку, а Kelp її не використовує.

Наш звіт тоді не міг точно визначити порог DVN (бо Kelp не розкрив), але ми чітко позначили цю непрозорість як ризик і прогалину. Відсутність публікації — червоний прапорець.

2. Одиночна точка відмови на 16 ланцюгах (прямий удар)

Звіт: “Одиночна точка відмови DVN LayerZero може вплинути на 16 підтримуваних ланцюгів rsETH.”

Що сталося: підроблене повідомлення безпосередньо потрапило у Ethereum, і поширилося на всі ланцюги, де є rsETH. LayerZero тимчасово зупинив всі вихідні мости з Ethereum. Власники rsETH на понад 20 ланцюгах — не знають, чи їх активи ще забезпечені.

Це — системний ризик: rsETH одночасно у Arbitrum, Optimism, Base, Scroll і інших L2. Вартість цих токенів залежить від активів на Ethereum. Якщо головний ланцюг зламаний, всі rsETH втрачають гарантію — їх не можна обміняти або перевірити. Застосовують заходи типу зупинки мостів, і масштаб збитків зростає.

3. Контроль міжланцевого управління без перевірки (пов’язане питання)

Звіт: “Г governance контроль LayerZero OFT конфігурації на кожному ланцюгу не перевірений — зокрема, чи належить контроль одному 6/8 мультипідпису і 10-денному тайм-локу, чи окремим ключам.”

Що сталося: DVN конфігурація не підчинена жорсткому управлінню протоколу. Якщо зміни у мосту — вони можуть контролюватися 6 з 8 підписантів і тайм-локом. Це означає, що 1-із-1 конфігурація — не зовсім безпечна, бо її можна змінити.

Це — поширена проблема управління: багато протоколів мають строгий контроль оновлень контрактів, але управління мостами, оракулами, біллими списками — часто з одним адміністраторським ключем. Kelp має хороше управління (6/8 + 10 днів), але ці механізми не поширюються на міжланцевий міст.

4. Історичний приклад Ronin/Harmony (прямий збіг)

Звіт: “Найбільш схожі історичні випадки — це атаки на мости. Deployment Kelp на 16 ланцюгах схожий на багатоланцеву архітектуру Ronin.”

Що сталося: шлях атаки майже ідеально повторює сценарій Ronin — злом валідаторів, підробка повідомлень, крадіжка активів. Наш інструмент, що порівнює моделі атак, правильно ідентифікував цю архітектуру як високоризикову.

Історія: у 2022 році Ronin втратив 625 мільйонів доларів через 5 зломаних валідаторів із 9; у тому ж році Horizon від Harmony — 100 мільйонів через 2 з 5 валідаторів. У Kelp ситуація ще гірша — один валідатор, мінімальні бар’єри. Інструмент це визначив, бо порівнює архітектуру з історичними атаками.

5. Відсутність страхового пулу (посилює збитки)

Звіт: “Протокол не має страхового пулу і механізмів розподілу збитків.”

Що сталося: без страхового резерву, збитки у 2,92 мільярда доларів з’їлися протоколами нижнього рівня. Вкладники Aave з боргом у 1,77 мільярда — отримали менше 30% від своїх збитків. LP, які не підписувалися під rsETH, понесли найбільші втрати.

Зломщик, використовуючи викрадені rsETH як заставу, взяв позики у WETH у Aave, Compound, Euler. Оскільки rsETH не забезпечені, ці позиції стали безнадійними боргами — застави знецінені, а позики залишилися непогашеними. Відсоток використання WETH у Aave миттєво досяг 100%, і користувачі не могли зняти свої кошти. Навіть ті, хто ніколи не торкався rsETH, постраждали. Страхові програми Nexus Mutual і Kelp не покривають цю ризикову експозицію.

Це — двостороння провина: Kelp, що керує 13 мільярдами TVL, без страхового резерву і механізмів захисту; Aave, що прийняв rsETH без належної оцінки ризиків мосту. Ризикові параметри (LTV, пороги ліквідації) — для нормальних коливань цін, але не враховують сценарії з мостовою атакою. Це — провал у ціновому моделюванні: rsETH — актив із високим ризиком мостової несправності, але Aave його так не враховував. В результаті, обидві сторони зазнали збитків.

Де ми помилилися

Три речі, які потрібно було зробити краще:

1. Зменшити ризик-рейтинги. Ми оцінили ризик мосту як “середній”. У звіті 5 нерозкритих інформаційних прогалин, з них 3 — щодо конфігурації LayerZero, і вони співпадають з історичними атаками Ronin/Harmony. Це — “високий” або “серйозний” ризик. Непрозорість сама по собі — червоний сигнал.

2. Не змогли проникнути у конфігурацію. Звіт багато разів просив Kelp розкрити порог DVN, але ми не могли самостійно перевірити. Це — структурна прогалина: інструменти фокусуються на коді, а конфігурація — поза їхньою зоною. Ми позначили проблему, але не знайшли рішення.

3. Не перевірили on-chain. Конфігурацію DVN можна зчитати безпосередньо з LayerZero EndpointV2 контракту. Можна було перевірити через ULN302 registry, щоб підтвердити поріг DVN — і не потрібно було б чекати публікації. Це — найконкретніший напрямок покращення: додати on-chain перевірку конфігурації у процес оцінки.

Недостатньо конкретно і практично. Заява “конфігурація DVN не оприлюднена” — це спостереження, а не прогноз атаки. Ці ризики (централізація оракулів, залежність мостів, відсутність страхування) — поширені у багатьох міжланцевих протоколах. Наші інструменти позначили цю проблему у Kelp, але й у десятках інших протоколів, що не зазнали атак. Без оцінки помилкових спрацьовувань — важко стверджувати, що ми “прогнозуємо” атаки. Щире пояснення: ми ставимо правильні запитання, і одне з них випадково збігається з ключовим.

Про “відповідальне розкриття”

Чи справді ми мали повідомити Kelp ще 6 квітня? Ні.

Ми не повідомили, бо виявили лише непрозорість — “конфігурація DVN не оприлюднена”, а не конкретний вразливий недолік. Ми не знали, що конфіг 1-із-1. Це — управлінська проблема, а не технічна уразливість. Відповідно, не можна подавати це як баг-репорт.

Згодом, ми могли б напряму запитати команду Kelp про їхній DVN поріг. Це могло б допомогти швидше виправити ситуацію. Ми цього не зробили. Це — урок: навіть якщо щось здається занизьким або нечітким, приватне запитання — варте того.

Що це означає для безпеки DeFi

Крадіжка у Kelp — не смарт-контрактна уразливість, як і у Drift 17 днів тому. Автоматичні сканери типу Slither, Mythril, GoPlus не виявлять цю проблему. Вразливість — у конфігураціях, управлінських прогалинах і архітектурних рішеннях, що лежать вище коду.

Це — головна ідея crypto-project-security-skill:

Безпека протоколу — не лише у коді. Навіть із ідеальним Solidity, п’ятьма аудитами і багатотисячним баг-баунті — можна втратити 292 мільйони через неправильну конфігурацію мосту.

Наш інструмент — відкритий на GitHub, кожен може його перевірити, покращити або адаптувати.

Таймлайн

12 днів. Сигнали були давно. Питання — як створити інструменти, що зможуть виявити ці сигнали до того, як зламають наступний міст.

Що ви можете зробити

Якщо у вас активи у міжланцевих DeFi-протоколах:

• Проведіть власний аудит. Інструмент відкритий, не довіряйте — перевірте самі.
• Перевірте конфігурацію мосту. Якщо протокол не хоче розкривати DVN поріг — це червоний прапорець. Наш звіт — так і робить.
• Не думайте, що кодовий аудит — все. У Kelp було понад 5 аудитів від відомих компаній (Code4rena, SigmaPrime, MixBytes). Але стандартний аудит не охоплює конфігураційні ризики — це інша категорія аналізу.
• Оцініть страхове покриття. Якщо протокол без страхового пулу, ви — неофіційний страховий фонд. Це — ризик, який потрібно враховувати.

Більше — у перспективі: AI-агент як рівень безпеки

Ця стаття — про інструмент і крадіжку. Але головна ідея — AI-агент може стати незалежним рівнем безпеки для DeFi.

Традиційна модель: протокол наймає аудит-компанії, вони перевіряють код і видають звіти. Вона має прогалини — саме на цьому прикладі видно: вона фокусується на коді, але пропускає конфігурації, управління і архітектуру.

Claude Code і подібні інструменти пропонують інший шлях: будь-хто може за кілька хвилин запустити AI-підтримувану оцінку ризиків, використовуючи відкриті дані. Не потрібно платити сотні тисяч доларів аудиторам, не потрібно знати Solidity. Агент порівнює архітектуру з відомими атаками і ставить правильні запитання.

Це — не заміна аудиту, а зниження бар’єрів для початкової перевірки. LP, що розглядає новий протокол, може запустити audit defi і отримати структурований ризик-аналіз — для самозахисту і прийняття рішення.

Звіт Kelp — не ідеальний. Він оцінив ризик мосту як середній, хоча він — серйозний. Не проник у конфігурацію. Але поставив правильні питання — і якби команда Kelp або будь-хто інший серйозно поставився до них, збитки можна було б уникнути.

Джерела

CoinDesk: 2026 — найбільша атака у крипто — викрадення 2.92 мільярда у Kelp DAO

Crypto Briefing: Атака на Kelp DAO — 2.92 мільярда через міжланцевий міст

DL News: Злом протоколу Kelp DAO — збитки близько 3 мільярдів

Bitcoin.com: ZachXBT розкрив викрадення понад 280 мільйонів у KelpDAO

鉅亨網: Уразливість на 2.93 мільярда — не у коді

Офіційна заява Aave у X

Повний звіт безпеки Kelp DAO (від 6 квітня 2026)

Код crypto-project-security-skill