Мостът KelpDAO е експлоатиран за 292 милиона долара, тъй като Lazarus Group е свързана с атаката

На 18 април 2026 г. нападателите източени 116 500 rsETH токени на стойност приблизително 292 милиона долара от междуверижния мост на KelpDAO, което задейства един от най-големите DeFi експлойти за годината. 

Хакерската атака унищожи около 18% от общото циркулиращо предлагане на rsETH от 630 000 токена, замрази пазарите на основните платформи за кредитиране и доведе до спад на общата заключена стойност (TVL) в DeFi с повече от 13 милиарда долара за 48 часа. 

LayerZero, на чиято инфраструктура е разчитал мостът, оттогава посочва като основна причина избор на конфигурация от KelpDAO, докато ранните данни свързват атаката със севернокорейската Lazarus Group.

Как мостът KelpDAO се е отводнил?

KelpDAO е протокол за ликвидно рестейкиране, вид DeFi платформа, която приема депозирани от потребители средства. ETH, насочва го през EigenLayer, за да получи допълнителен добив в допълнение към стандартния Ethereum награди за залагане и издава rsETH като търгуем токен за разписка. Мислете за rsETH като за проверка на претенцията: тя представлява заложена ETH и доходността, която генерира, и може да се търгува или използва като обезпечение в DeFi.

Мостът, който беше отводнен, беше построен с помощта на стандарта OFT (Omnichain Fungible Token) на LayerZero. LayerZero е слой за обмен на съобщения между вериги, което означава, че е инфраструктурата, която позволява на различни блокчейни да изпращат проверени инструкции една към друга. 

KelpDAO е внедрила rsETH в повече от 20 мрежи, включително Base, Арбитрам, Линеа, Взрив, Мантияи Scroll. Мостът държеше резервите на rsETH, които подкрепяха обвитите версии на токена във всички тези вериги от слой 2.

На 18 април в 17:35 UTC, атакуващите подлъгаха слоя за съобщения на LayerZero, като го накараха да повярва, че е пристигнала валидна инструкция за кръстосана верига от друга мрежа. Това задейства моста на KelpDAO да освободи 116 500 rsETH към адрес, контролиран от атакуващия. 

Спешно мултиподписване на KelpDAO замълча - корем договори 46 минути по-късно в 18:21 UTC. Два последващи опита, в 18:26 UTC и 18:28 UTC, и двата се провалиха, след като паузата вече беше в сила, според CoinDesk. Всеки от тези последващи опити носеше съобщение, опитващо се да източи още 40 000 rsETH, на стойност около 100 милиона долара.

Как атакуващите заобиколиха слоя за проверка

LayerZero оттогава освободен подробно описание на това как атаката е работила технически, и е по-сложно от обикновен бъг в интелигентен договор.

Открийте обещаващи проекти...

Перспективни проекти...

(Реклама)

Статията продължава...

Проверката на моста на LayerZero разчита на RPC възли: сървъри, които позволяват на софтуера да чете и записва данни в блокчейн. Атакуващият е идентифицирал два RPC възела, от които верификаторът на LayerZero е зависел, за да потвърждава транзакции между вериги. Те са заменили софтуера, работещ на тези два възела, със злонамерени версии, проектирани да докладват едно нещо на верификатора на LayerZero (че е извършена валидна транзакция), като същевременно продължават да докладват точни данни на всяка друга система, която отправя заявки към същите възли. Тази селективна измама е специално проектирана да остане невидима за собствения мониторинг на LayerZero, който отправя заявки към едни и същи RPC от различни IP адреси.

Компрометирането само на два възела не беше достатъчно, защото верификаторът на LayerZero също така отправя запитвания към некомпрометирани външни RPC възли. Така че атакуващите изпълниха разпределена атака тип „отказ от услуга“ (DDoS) срещу тези външни възли, за да принудят системата да се прехвърли към компрометираните. 

Дневниците за трафик, споделени от LayerZero, показват, че DDoS атаката е извършена между 10:20 ч. и 11:40 ч. тихоокеанско време на 18 април. След като превключването на резервния сървър се задейства, отровените възли уведомяват верификатора, че е пристигнало легитимно съобщение между веригите и мостът освобождава rsETH. След това злонамереният софтуер на възлите се самоунищожава, изтривайки своите двоични файлове и локални лог файлове.

Защо конфигурацията на KelpDAO направи това възможно?

LayerZero бяха директни относно това къде според тях е отговорността. KelpDAO използва така наречената 1-на-1 DVN конфигурация. DVN е съкращение от Децентрализирана мрежа за верифициране, което е терминът на LayerZero за обектите, които проверяват съобщения между вериги. 

Изпълнението на конфигурация „1 към 1“ означаваше, че LayerZero Labs е единствената организация, потвърждаваща съобщенията към и от моста rsETH. Компрометирайте данните на един верифициращ и можете да фалшифицирате валидно съобщение.

Публичната документация за интеграция на LayerZero и директните комуникации с KelpDAO препоръчваха конфигурация с множество верификатори, при която се изисква консенсус между няколко независими DVN, преди дадено съобщение да бъде прието за валидно. При тази конфигурация, отравянето на данните на един верификатор не би било достатъчно, за да се осъществи измамна транзакция.

„KelpDAO избра да използва 1/1 DVN конфигурация“, пише LayerZero в анализа си. „Правилно защитената конфигурация би изисквала консенсус между множество независими DVN, което би направило тази атака неефективна дори в случай на компрометиране на който и да е един DVN.“

Техническият директор на Ripple Дейвид Шварц направи насочен наблюдение по същата тема. Той отбеляза, че при оценката на мостовите системи за DeFi за RLUSD, той откри, че повечето протоколи разполагат със силни механизми за сигурност, но рутинно ги представя като допълнителни функции, които добавят оперативна сложност. 

Според него, имплицитното послание от доставчиците е било, че клиентите не трябва да си правят труда да използват най-важните функции за сигурност, защото са неудобни. Той описа чувството, че KelpDAO вероятно е избрала да не използва ключови функции за сигурност на LayerZero точно поради тази причина.

„Имам странното чувство, че част от проблема ще бъде нещо като това, че KelpDAO ще избере да не използва ключови функции за сигурност на LayerZero от удобство“, заяви Шварц. 

KelpDAO все още не е отговорила публично на твърденията на LayerZero, нито е обяснила защо е използвала система за верификация 1 към 1 въпреки тези препоръки.

Какво се случи с rsETH след изтичането?

Тъй като мостът държеше резервите, обезпечаващи rsETH във всяка верига от слой 2, където беше разположен, изтичането на пари постави притежателите в тези мрежи пред сериозен въпрос: има ли нещо, което да обезпечава моите токени? Тази несигурност създаде обратна връзка: загрижеността относно обезпечението на слой 2 можеше да накара притежателите да осребрят своите rsETH за... ETH on Ethereum основната мрежа, което от своя страна би могло да принуди KelpDAO да отмени позициите си за възстановяване на EigenLayer, за да изпълни тези тегления.

KelpDAO потвърди инцидента в първата си публична публикация в X в 20:10 UTC, близо три часа след източването. Протоколът заяви, че работи с LayerZero, Unichain, своите одитори и външни специалисти по сигурността, за да разследва инцидента.

Кои протоколи замразиха пазарите?

Заразата се разпространи бързо в DeFi:

• Aave замрази пазарите на rsETH както на V3, така и на V4 в рамките на часове. Основателят Стани Кулечов поясни, че експлойтът е бил външен и Aaveсобствените договори на не бяха засегнати.
• SparkLend и Fluid замразиха своите пазари на rsETH.
• Lido Finance спря по-нататъшните депозити в своя продукт earnETH, който носи експозиция към rsETH, като същевременно уточни, че stETH и wstETH не са засегнати.
• Етина временно спря своите LayerZero OFT мостове от Ethereum mainnet като предпазна мярка, заявявайки, че няма експозиция към rsETH и остава свръхобезпечена с над 101%. 

С колко падна DeFi TVL?

Финансовите последици се разпростряха далеч отвъд собствената екосистема на KelpDAO. Общата стойност, заключена в DeFi, падна от 99 милиарда долара на 86 милиарда долара през 48-те часа след експлойта, което е спад от 13.21 милиарда долара, според... данни от DefiLlamaTVL е стандартна мярка за комбинираната доларова стойност на активите, депозирани в DeFi протоколи, и се използва широко като показател за общата ликвидност и активност на пазара.

Aave сам видях 9.5 милиарда долара депозити излизане през този период, като неговата TVL спадна до 17.947 милиарда долара. Данните на ниво протокол показаха двуцифрени процентни спадове в различните платформи, включително Euler, Sentora и Aave, като загубите са концентрирани в стратегии за кредитиране, повторно залагане и доходност, обвързани с обезпечение от rsETH.

Механизмът зад тези отливи беше ясен, но вреден. Нападателите използваха откраднатия rsETH като обезпечение, за да заемат средства от платформи за кредитиране. Тъй като тези токени вече нямаха легитимно обезпечение, заемането срещу тях създаде потенциални дефицити за кредиторите. Това е подобно на депозирането на фалшива валута в банка и тегленето на заеми срещу нея: банката остава с лоши дългове. Протоколите реагираха, като замразиха засегнатите пазари, което от своя страна накара потребителите да изтеглят средствата си в голяма степен, ускорявайки спада на TVL.

ПРИЗРАК падна с 18% през последните 48 часа.

Дали Lazarus Group стои зад атаката?

LayerZero приписа атаката с предварителна увереност на севернокорейската Lazarus Group и нейното подразделение TraderTraitor, въз основа на анализ на методите и инфраструктурата на нападателя. Питър Чунг, ръководител на изследванията в Presto Research, отбеляза в изследователска бележка, че инцидентът подчертава рисковете в междуверижната инфраструктура, особено в системите за проверка, и че ранният анализ показва, че проблемът е възникнал в слоя за проверка, а не в самите интелигентни договори.

Ако атрибуцията е валидна, експлойтът на KelpDAO ще представлява второто голямо изтичане на DeFi, свързано с Lazarus Group, за 18 дни. На 1 април СоланаПротоколът за постоянни облигации Drift, базиран на , беше източен за около 285 милиона долара при атака, по-късно свързана със същото севернокорейско звено. Двете атаки използваха структурно различни методи: социално инженерство в Drift и отравяне на инфраструктурата в KelpDAO. Взети заедно, двата инцидента представляват над 575 милиона долара, източени от DeFi за по-малко от три седмици.

Какво направи LayerZero след атаката?

LayerZero потвърди, че няма заразяване на друго приложение по протокола. Всеки OFT-стандартен токен и приложение, работещо с настройки с множество верификатори, не беше засегнато. Верификаторът на LayerZero Labs отново е онлайн. Компанията също така обяви, че вече няма да подписва съобщения за приложения, работещи с конфигурация 1-на-1 DVN, което на практика налага миграция в целия протокол от настройки с един верификатор.

Заключение

Експлойтът на KelpDAO не беше грешка в кода на LayerZero. Това беше целенасочена атака срещу инфраструктурата, осъществена благодарение на едно-единствено решение за конфигурация: изпълнение на 1-в-1 система за верификация, въпреки документираните препоръки срещу нея. Атакуващите, предварително приписани на севернокорейската Lazarus Group, отровиха RPC възли, принудиха превключване на системата при срив чрез координиран DDoS и източиха 116 500 rsETH, преди KelpDAO да успее да спре договорите си. Последиците от това включваха над 13 милиарда долара в DeFi TVL, унищожени за 48 часа, както и замръзване в... Aave, SparkLend, Fluid и Lido, както и по-широк разговор за разликата между функциите за сигурност, предлагани от мостовете с различни вериги, и функциите, които техните интегратори реално използват.

Ресурси

1. Lookonchain на XПубликации (18 април - 20 април)

2. Доклад от CoinDeskНай-голямата крипто експлойт на 2026 г.: 292 милиона долара са източени от Kelp DAO с етер, блокиран в 20 вериги

3. LayerZero върху XПубликувано на 20 април

4. Доклад от The BlockМостът rsETH на Kelp DAO очевидно е бил експлоатиран за приблизително 292 милиона долара при атака, базирана на LayerZero.

5. Порталът на DeFiLlamaDeFi TVL данни