Kelp DAO зазнало зламу на 292 млн доларів: атака з підробленими повідомленнями на міжланцюжковий міст LayerZero, найбільша подія DeFi у 2026 році

Під час повторного стейкінг-договору Kelp DAO о 4:00 ранку за тайванським часом 19 квітня сталося хакерське вторгнення; за повідомленням CoinDesk і даними відстеження блокчейн-компанії з кібербезпеки Cybers, зловмисник атакував через кросчейн-мостовий адаптер, розгорнутий Kelp у LayerZero: сфальсував кросчейн-повідомлення, щоб викликати вивільнення токенів із контракту на 116,500 rsETH, що приблизно відповідає 2.92 млрд доларів США, і становить майже 18% від обсягу в обігу rsETH. Ця втрата перевищила подію Drift Protocol на початку квітня на 2.85 млрд доларів США та стала найбільшою безпековою подією в DeFi у 2026 році.

Сфальсифіковане кросчейн-повідомлення обходить верифікацію мосту

rsETH Kelp DAO походить з основної мережі Ethereum і через кросчейн-рівень повідомлень LayerZero розгорнутий більш ніж на 20 інших ланцюгах. Зловмисник розпочав атаку приблизно о 2:50 дня за вашингтонським східним часом 18 квітня, використавши підроблені кросчейн-пакети, щоб змусити adapter-контракт у головній мережі повірити, що «дійсні команди походять з іншого ланцюга», після чого 116,500 rsETH були вивільнені на адресу, контрольовану атакувальником.

Отримавши rsETH, зловмисник далі вивів токени: заклав їх у Aave V3, позичив WETH, а потім партіями переказав активи кросчейном до Arbitrum; зрештою, через міксер Tornado Cash відмив кошти. Приблизно через 46 хвилин після початку атаки Kelp за допомогою екстреного паузу з багатопідписом активував заморозку: дві наступні спроби атаки на 40,000 rsETH (разом близько 1 млрд доларів США) revert, оскільки контракт було заморожено.

Екстрене замороження ринку rsETH в Aave

Засновник Aave Stani Kulechov у соцмережах заявив: «Ринок rsETH у Aave V3 та Aave V4 уже заморожено. Сам контракт Aave не атакували — це вразливість на стороні rsETH», і підкреслив, що в Aave права запозичення для rsETH дорівнюють нулю, тож Aave не зазнав прямих збитків. Але як заставу, rsETH підтримує позиції з позичанням WETH, і ці позиції все ще залишають ризик безнадійних боргів приблизно на 1.77 млрд доларів США, що змусило постачальників терміново виводити ліквідність.

Реакція ринку була різкою. Після поширення новини токен AAVE за один день знизився на 10.27%, і тимчасово впав до 105.73 долара США. Пов’язані кредитні угоди SparkLend та Fluid також поспішно заморозили позиції, що стосуються rsETH, а каскадний ризик у вихідні, коли ліквідність була мізерною, посилився.

wrapped rsETH розкиданий по 20 ланцюгах — клиринг стає проблемою

Цей інцидент має ефект, більший за наслідки типової атаки в межах одного ланцюга. Вичерпаний резерв adapter — це саме підтверджувальні активи, на основі яких у більш ніж 20 ланцюгах випускається wrapped rsETH. Це означає, що користувачі на інших ланцюгах, які досі здійснюють запозичення, стейкінг або торгівлю за допомогою wrapped rsETH, зіткнуться з ризиком пасивної від’єднаності позицій. Офіційна заява Kelp лише повідомила, що вони виявили «підозрілу кросчейн-активність» і призупинили rsETH-контракт, але не оприлюднила план компенсації.

Кросчейн-мост став новою атакувальною зоною для DeFi

Інцидент Kelp продовжив тенденцію, що з 2026 року рівень кросчейн-повідомлень стає головним об’єктом атак. Від того, як на початку місяця Drift Protocol використав Solana durable nonce, щоб обійти multi-sig, до нинішнього випадку, коли Kelp сфальсифікував LayerZero-повідомлення: точки вразливості не в кредитних протоколах самих по собі, а в механізмі верифікації повідомлень, який з’єднує різні ланцюги. Раніше команда з ризик-менеджменту Chaos Labs вийшла з Aave через суперечки щодо бюджету. Додатково, з огляду на появу централізованої атакувальної площі кросчейн-мостів, виклики для протоколів DeFi щодо структурного безпекового управління продовжують зростати.

Ця стаття «Kelp DAO зазнав хакерського нападу на 2.92 млрд доларів США: атака зі сфальсифікованими повідомленнями на LayerZero кросчейн-мості стала найбільшою подією DeFi у 2026 році» вперше з’явилася на сайті 鏈新聞 ABMedia.