#rsETHAttackUpdate

Обновление по атаке rsETH: 26 апреля 2026 года

18 апреля 2026 года примерно в 17:35 UTC злоумышленники использовали критическую уязвимость в межцепочечном мосте LayerZero V2 для rsETH в Kelp DAO. Этот инцидент стал крупнейшей эксплойтацией DeFi в 2026 году на сегодняшний день, с примерно 116 500 неподдерживаемых rsETH, созданных и выведенных — оценочная стоимость около 292-293 миллионов долларов на момент атаки, что составляет примерно 18% циркулирующего предложения rsETH.

Как работала атака

Эксплойт был направлен на механизм моста rsETH в Kelp, который использует систему блокировки и чеканки LayerZero. В нормальных условиях средства блокируются на исходной цепочке и чеканятся на целевой цепочке, а проверка осуществляется сетью децентрализованных проверяющих. Уязвимость заключалась в маршруте Unichain к Ethereum, который был настроен с одним узлом-проверяющим, а не с мультиподписным кворумом.

Злоумышленники, связанные с группой Lazarus из Северной Кореи и её подгруппой TraderTraitor, взломали два RPC-узла LayerZero Labs. Они внедрили поддельные данные, имитирующие сжигание rsETH на Unichain, одновременно запуская DDoS-атаки на внешние RPC, чтобы принудительно переключить работу на их взломанную инфраструктуру. Эта манипуляция обманула единственного проверяющего, который одобрил фальшивый пакет LayerZero, что позволило вывести средства без фактического сжигания на исходной цепочке.

Важно отметить, что это не ошибка смарт-контракта, а атака на инфраструктуру вне цепочки, связанная с отравлением RPC. Вредоносное ПО самоудалилось после эксплуатации. Вторая попытка атаки, затрагивающая около 40 000 rsETH стоимостью 95-100 миллионов долларов, была успешно заблокирована механизмом экстренной остановки Kelp.

**Немедленные меры и влияние на рынок**

В течение одного-двух часов после обнаружения несколько протоколов приняли меры экстренного реагирования. Kelp DAO приостановил контракты rsETH в Ethereum и всех сетях Layer 2, а также внес черные списки адресов злоумышленников. Aave V3 и V4 заморозили рынки rsETH и wrsETH, установив коэффициенты займа к стоимости в ноль, а затем заморозили WETH на нескольких цепочках, частично разблокировав Ethereum к 21 апреля. Другие протоколы, такие как SparkLend, Fluid, Upshift, Compound, Euler и Lido, также приостановили рынки, связанные с rsETH.

Злоумышленник внес 89 567 rsETH на сумму примерно $221 миллионов в качестве залога на Aave V3 в Ethereum и Arbitrum, взяв взаймы примерно 82 650 WETH стоимостью 190,9 миллиона долларов, а также 821 wstETH на сумму 2,3 миллиона долларов. Показатели здоровья этих позиций колебались между 1,01 и 1,03, что указывает на крайне высокий уровень кредитного плеча и рискованную залоговую структуру. Были сделаны дополнительные меньшие депозиты на Compound V3 и Euler.

Более широкий рынок испытал значительные потрясения. За два дня из DeFi-платформ вышло примерно $13 миллиардов в общей заблокированной стоимости. Уровни использования WETH достигли 100% на ключевых цепочках, а rsETH потерял привязку на сетях Layer 2. Общие потери от взлома в апреле 2026 года достигли примерно $606 миллионов долларов, что сделало этот месяц одним из самых дорогих в истории DeFi.

**Текущий статус восстановления**

По состоянию на 26 апреля появились несколько положительных новостей. Совет безопасности Arbitrum успешно заморозил 30 766 ETH на сумму примерно $71 миллионов долларов с адреса злоумышленника 21 апреля. Эти средства сейчас хранятся в управляемом советом кошельке, ведется координация между советом и правоохранительными органами.

Протоколы DeFi пообещали около 43 500 ETH для восстановления резервов rsETH. DAO Aave предложила внести примерно 25 000 ETH на сумму около $58 миллионов долларов через фонд DeFi United, который сейчас составляет примерно $161 миллионов. Kelp и LayerZero координируют усилия по восстановлению, при этом модуль Aave Umbrella рассматривается как возможный механизм компенсации, с учетом около $54 миллионов в aWETH.

Отчет о происшествии Aave от 20 апреля описывает два основных сценария обработки потенциальных плохих долгов. Первый предполагает равномерное распределение убытков по всему предложению rsETH, что приведет к потере привязки на 15,12% и примерно $124 миллионов долларов в общем плохом долге. Второй сценарий предусматривает только для L2-цепочек вырезки в размере 73,54% по удаленным позициям rsETH, что создаст примерно $230 миллионов долларов плохого долга и серьезные последствия для цепочек, таких как Mantle, с дефицитом в 71%.

LayerZero отменил устаревшую конфигурацию DVN 1-of-1 и заменил скомпрометированную инфраструктуру RPC. Они подтвердили, что другие приложения не пострадали от этой конкретной уязвимости.

**Ключевые выводы**

Эксплойт rsETH подчеркивает критические риски архитектуры межцепочечных мостов, особенно тех, что полагаются на механизмы проверки с одним узлом и централизованную RPC-инфраструктуру. Атака демонстрирует, как компоненты вне цепочки могут быть скомпрометированы, даже если сами смарт-контракты безопасны.

Основная цепочка Ethereum с rsETH остается полностью обеспеченной депозитами в стейкинге Kelp. Основная проблема заключается в адаптере моста Layer 2, где 40 373 rsETH обеспечивают 152 577 требований, создавая дефицит примерно в 112 000 rsETH.

Полное восстановление первоначальных $292 миллионов в ближайшее время маловероятно. Chainalysis и Certik продолжают отслеживать потоки средств. Казначейство Aave примерно в $181 миллионах долларов, плюс текущие доходы, обеспечивает буфер против реализованных потерь. Предложения по управлению Kelp и Aave остаются активными, поскольку сообщество обсуждает механизмы распределения убытков.

В будущем индустрия столкнется с необходимостью внедрения мульти-DVN кворумов, систем мониторинга инвариантов и комплексных аудитов вне цепочки. Хотя общая заблокированная стоимость (TVL) после рестейкинга потрясена, стейкинг на основной цепочке Ethereum остается целым. Все заинтересованные стороны должны следить за форумами управления Aave и Kelp, а также за отчетами LayerZero о постмортеме для отслеживания развития ситуации.