Аналіз атаки на Kelp DAO: фальшиве повідомлення викрало 292 мільйони доларів, системний ризик DeFi знову викликає занепокоєння

1. Огляд події

18 квітня о 17:35 UTC протокол другого за обсягом ліквідності стейкінгу Kelp DAO зазнав масштабної атаки. Хакер використав вразливість міжланцюгового мосту rsETH на базі LayerZero, підробив міжланцюгове повідомлення та викрав 116 500 rsETH з основної мережі Ethereum, що становить близько 292 мільйонів доларів, приблизно 18% від загального обігу rsETH. Після приблизно 46 хвилин протокол Kelp DAO терміново призупинив мульти-підпис, успішно зупинивши дві наступні спроби викрасти ще 40 000 rsETH (близько 100 мільйонів доларів).

Зловмисник отримав початкові кошти через Tornado Cash і точно сконструював міжланцюговий пакет даних, викликав функцію lzReceive контракту LayerZero EndpointV2, що активувало звільнення активів мостовим контрактом Kelp — однак у вихідній ланцюговій мережі взагалі не було внесено жодних rsETH, команда просто підробила команду з нуля.

2. Корінь вразливості: фатальний недолік у конфігурації міжланцюгових мостів

Основна причина — використання Kelp DAO надто спрощеної конфігурації з одним валідатором (1/1 DVN), а не рекомендованої офіційно LayerZero схеми з двома валідаторами (2/2), що дозволяє одному валідатору підтверджувати міжланцюгові повідомлення. Після обходу перевірки зловмисник отримав доступ до мостового адаптера, який не виконував строгий контроль походження повідомлень, і помилково вважав, що активи на вихідному ланцюгу заблоковані, тому виконав команду звільнення — фактично створивши "беззаставний підроблений актив".

3. Наслідки: збитки Aave та паніка на ринку

Зловмисник швидко використав викрадені rsETH як заставу для позик у протоколах Aave V3, Compound, Euler тощо, позичивши близько 236 мільйонів доларів у реальному WETH/ETH. Оскільки rsETH є фальшивим активом з додатковим емісійним механізмом, ці позики стали безнадійними боргами: Aave поніс збитки приблизно 177-196 мільйонів доларів, Compound — близько 39,4 мільйона, Euler — близько 84 тисячі доларів.

Aave одразу заморозив ринок rsETH, але це викликало масштабну паніку та масове виведення активів — понад 5,4 мільярда доларів було знято з протоколу, а використання ETH у системі сягнуло 100%. Загальний обсяг TVL Aave знизився з приблизно 264 мільярдів до 207 мільярдів доларів, а ціна токена AAVE впала більш ніж на 10%.

4. Рефлексії галузі: системний ризик у структурі DeFi

Ця атака не була класичною вразливістю смарт-контрактів, а показала дві вразливості: безпечність конфігурації міжланцюгових мостів і логіку заставлення LRT (токенів ліквідності). Подія з Kelp DAO стала другою за масштабом у квітні після інциденту з Drift Protocol (збитки 285 мільйонів доларів), не враховуючи втрат у 284 мільйони доларів через фішинг у січні, що підкреслює зростаючу складність та серйозність безпекових викликів у DeFi. RSETH, як актив типу LRT, залежить від безпеки міжланцюгових мостів, а протоколи позик, такі як Aave, включають ці високоризикові активи до списку застав. Це спричиняє асиметричне поширення ризиків по всій системі: вразливість у базовій ланцюговій мережі може миттєво поширитися на весь кредитний екосистему.

Подія спричинила ланцюгову реакцію: кілька проектів, зокрема Solv, оголосили про припинення роботи з мостами LayerZero, а Curve Finance тимчасово відключила інфраструктуру LayerZero. LayerZero заявила, що проводить розслідування причин і спільно опублікує повний аналітичний звіт.

Засновник Kelp DAO Charlie у платформі X визнав, що команда помилково застосувала конфігурацію 1/1 DVN і пообіцяв розробити повну програму компенсацій для всіх постраждалих користувачів, відмовившись від поширеної ідеї "соціалізованих збитків". Він зазначив, що хоча повернення активів ускладнене, головне — захистити інтереси користувачів, і деталі компенсацій будуть оприлюднені найближчим часом.

Ця подія ще раз нагадує DeFi-індустрії: коли активи все частіше вкладаються у складні міжпротокольні структури, кожна слабка ланка "лего-конструкції" може спричинити масштабний збиток. Ринок потребує більш жорстких стандартів управління ризиками, обережнішої безпеки та більш обережної конфігурації міжланцюгових мостів — інакше наступного разу збитки можуть перевищити 292 мільйони доларів. #Gate13周年现场直击