Kelp DAO підтвердила повне відновлення rsETH після того, як Lazarus Group атакувала систему, після чого функціональність повністю перезапустили

26 травня Kelp DAO — протокол відновлення ліквідності з повторним стейкінгом для Ethereum — у X підтвердив, що операційну частину плану відновлення rsETH офіційно завершено: остання партія в 20 373,70 rsETH була відправлена на смартконтракт LayerZero. Операції карбування (minting), викупу (redemption) та нагородження для rsETH підтверджено як такі, що працюють коректно, що поклало край впливу атаки пов’язаного з КНДР хакерського угруповання Lazarus Group.

Механізм атаки: як був використаний недолік у LayerZero 1/1 (один верифікатор)

Система кросчейн-переказів rsETH у Kelp DAO використовує протокол LayerZero, налаштований як 1/1 DVN (децентралізована верифікаційна мережа, де достатньо одного верифікатора для підтвердження транзакції). Lazarus Group скористався цією дизайно́вою точкою відмови: атакувальники захопили два RPC-вузли, які надавали протоколу дані для верифікації, та паралельно здійснили DDoS-атаку на легітимні RPC-ендпоїнти, змушуючи систему мосту покладатися на вже захоплені вузли. У такий спосіб атакувальники підробили кросчейн-повідомлення й змусили контракт в Ethereum на стороні джерела випустити 116 500 rsETH, хоча rsETH у вихідному ланцюзі не було законно знищено (burnt).

LayerZero раніше вже попереджав про ризики безпеки конфігурації 1/1 DVN.

Після виявлення атаки Kelp DAO негайно призупинив rsETH-контракт і додав гаманець атакувальника в чорний список, блокуючи спробу другого викрадення ще 40 000 rsETH. Сек’юріті-комітет Arbitrum заморозив близько 30 766 ETH, пов’язаних із атакувальником (приблизно 71 мільйон доларів), але згодом Lazarus Group запідозрили у переказі 175 мільйонів доларів США в ETH на нові адреси.

П’ять тижнів відновлення: підтверджена хронологія

18 квітня: сталася атака Lazarus Group, було викрадено 116 500 rsETH (приблизно 293 мільйона доларів); Kelp DAO призупинив rsETH-контракт, перешкодивши другій атаці

13 травня: завершено переказ першої партії 25 000 rsETH; міст для rsETH між Ethereum mainnet та Layer 2 знову відкрито

14 травня: функцію виведення (withdrawal) rsETH знову відкрито

26 травня: остання партія в 20 373,7 rsETH відправлена на смартконтракт LayerZero; Kelp DAO підтвердив, що операційну частину плану відновлення офіційно завершено; карбування, викуп і нагородження rsETH працюють коректно

Поширені запитання

Який механізм атаки Kelp DAO спричинив борг на суму 190 мільйонів доларів для Aave?

Атакувальники безкоштовно отримали 116 500 rsETH через уразливість у мосту LayerZero, а потім внесли цю партію «нульовартісних» rsETH як заставу на платформу кредитування Aave та позичили значні обсяги wETH (обгорнутого Ethereum). Після того як Kelp DAO призупинив rsETH-контракт, ринкова вартість rsETH і його здатність до викупу були поставлені під сумнів, і значна кількість провайдерів ліквідності почала виходити з Aave. При цьому заставні rsETH, внесені атакувальником, фактично перетворилися на безповоротну заборгованість. Борг на суму 190 мільйонів доларів напряму погіршив показник TVL Aave, спричинивши ширшу паніку щодо ліквідності: після події TVL Aave впав з 26,4 мільярда доларів до менш ніж 14 мільярдів доларів, утративши позицію найбільшого DeFi-протоколу за TVL у світі.

Як ініціатива DeFi United надала кошти для відновлення rsETH, і який механізм спільного ін’єктування різними протоколами?

DeFi United — це об’єднана екстрена ініціатива за участі багатьох DeFi-протоколів. Під час цього відновлення вона скоординувала ін’єкції коштів кількох протоколів, щоб заповнити дефіцит фінансування, необхідний для повного ланцюгового підкріплення відновлення rsETH з боку Kelp DAO. Повний список джерел коштів і частки внеску кожного протоколу досі не розкрито детально в публічних заявах Kelp DAO. Така модель координації коштів між протоколами схожа на попередні галузеві механізми спільної екстреної допомоги після атак на Euler Finance та інші DeFi-протоколи — це нова практика в DeFi-екосистемі, яка використовує децентралізований підхід для протидії масштабним хакерським атакам.

Які фонові дані є щодо хвилі DeFi-атак у квітні 2026 року?

Дані DefiLlama та ончайн-моніторингів безпеки підтверджують: у квітні 2026 року сталося 25 випадків криптохакерських атак, сумарні збитки становили близько 630 мільйонів доларів. Це найгірший місяць за розміром втрат з лютого 2025 року, коли в Bybit вкрали 150 мільйонів доларів (рекордні за шкалою втрат в межах однієї хакерської атаки). 293 мільйона доларів Kelp DAO — найбільша разова DeFi-уразливість у 2026 році станом на нині. Дані DefiLlama за весь час показують, що за останні десять років сумарно було вкрадено понад 17 мільярдів доларів. Кросчейн-уразливості становили основу головних атак до 2026 року (включно з випадками Kelp DAO, Map Protocol Butter Bridge та Verus Bridge).