#rsETHAttackUpdate

Оновлення атаки rsETH: 26 квітня 2026 року

18 квітня 2026 року приблизно о 17:35 за UTC зловмисники використали критичну вразливість у міжланцюговому мосту LayerZero V2 для rsETH у Kelp DAO. Ця інцидент є найбільшою експлуатацією DeFi у 2026 році на сьогодні, з приблизно 116 500 незабезпечених rsETH, створених і виведених — оцінюваних приблизно у 292-293 мільйони доларів на момент атаки, що становить близько 18% обігу rsETH.

Як працювала атака

Злом був спрямований на механізм мосту rsETH у Kelp, який використовує систему блокування та створення на LayerZero. При нормальній роботі кошти блокуються на вихідному ланцюгу і створюються на цільовому, а перевірка здійснюється мережею децентралізованих верифікаторів. Вразливість полягала у маршруті Unichain до Ethereum, який був налаштований з одним вузлом верифікатора, а не з мульти-підписною квотою.

Зловмисники, яких пов’язують із групою Lazarus з Північної Кореї та її підгрупою TraderTraitor, зламали два RPC вузли LayerZero Labs. Вони вставили підроблені дані, імітуючи спалювання rsETH на Unichain, одночасно запускаючи DDoS-атаки на зовнішні RPC, щоб примусити автоматичний перехід на їхню зламану інфраструктуру. Це маніпулювання змусило єдиного верифікатора схвалити фальшивий пакет LayerZero, що дозволило вивести кошти без фактичного спалювання на вихідному ланцюгу.

Важливо, що це не була помилка смарт-контракту, а атака на інфраструктуру поза ланцюгом, пов’язана з отруєнням RPC. Зловмисне програмне забезпечення самостійно видалилося після злома. Другий спробний напад, спрямований приблизно на 40 000 rsETH вартістю 95-100 мільйонів доларів, був успішно заблокований механізмом екстреного припинення роботи Kelp.

**Негайна реакція і вплив на ринок**

Протягом однієї-двох годин після виявлення кілька протоколів запровадили екстрені заходи. Kelp DAO зупинив контракти rsETH у Ethereum та всіх мережах Layer 2, а також додав у чорний список адреси зловмисників. Aave V3 і V4 заморозили ринки rsETH і wrsETH, встановивши коефіцієнти позики до вартості на нуль, а згодом заморозили WETH на кількох ланцюгах, частково розблокувавши ринки Ethereum до 21 квітня. Інші протоколи, такі як SparkLend, Fluid, Upshift, Compound, Euler і Lido, також припинили торгівлю rsETH.

Зловмисник внес 89 567 rsETH на суму приблизно $221 мільйонів у якості застави на Aave V3 у Ethereum і Arbitrum, позичивши близько 82 650 WETH вартістю 190,9 мільйонів доларів, а також 821 wstETH на суму 2,3 мільйони доларів. Показники здоров’я цих позицій коливалися між 1,01 і 1,03, що свідчить про дуже високий рівень кредитування та ризиковану заставу. Додаткові менші депозити були зроблені на Compound V3 і Euler.

Більший ринок зазнав значних потрясінь. Близько $13 мільярдів у загальній заблокованій цінності вийшли з платформ DeFi протягом двох днів. Витрати WETH досягли 100% на ключових ланцюгах, а rsETH роз’єднано з прив’язки на мережах Layer 2. Загальні збитки від зломів у квітні 2026 року склали приблизно $606 мільйонів, що робить цей місяць одним із найдорожчих у історії DeFi.

**Поточний стан відновлення**

На 26 квітня з’явилися кілька позитивних новин. Радбез Arbitrum успішно заморозив 30 766 ETH на суму приблизно $71 мільйонів з адреси зловмисника 21 квітня. Ці кошти наразі зберігаються у керованому радою гаманці, і триває співпраця між радою та правоохоронними органами.

Протоколи DeFi пообіцяли близько 43 500 ETH для відновлення резервів rsETH. DAO Aave запропонував внести близько 25 000 ETH на суму приблизно $58 мільйонів через фонд DeFi United, який зараз становить близько $161 мільйонів. Kelp і LayerZero координують зусилля з відновлення, а модуль Aave Umbrella розглядає можливість використання близько $54 мільйонів у aWETH як механізму компенсації.

Звіт про інцидент від 20 квітня Aave окреслив два основні сценарії управління потенційним поганим боргом. Перший передбачає рівномірне поширення збитків на весь обсяг rsETH, що призведе до 15,12% розриву та приблизно $124 мільйонів у загальному поганому боргу. Другий сценарій передбачає лише для L2 зменшення вартості на 73,54% щодо віддалених володінь rsETH, що створить приблизно $230 мільйонів у поганому боргу з серйозними наслідками для ланцюгів, таких як Mantle, які зазнають 71% недостачі.

LayerZero скасував застарілу конфігурацію DVN 1-із-1 і замінив зламану RPC-інфраструктуру. Вони підтвердили, що інші застосунки не постраждали від цієї конкретної вразливості.

**Ключові висновки**

Злом rsETH підкреслює критичні ризики архітектури міжланцюгових мостів, особливо тих, що покладаються на механізми перевірки з одним вузлом і централізовану RPC-інфраструктуру. Атака демонструє, як позанланцюгові компоненти можуть бути зламані навіть за умови безпеки самих смарт-контрактів.

Основний rsETH у мережі Ethereum залишається повністю забезпеченим депозитами Kelp. Основна проблема полягає у мостовому адаптері Layer 2, де 40 373 rsETH забезпечують 152 577 заявок, створюючи недостачу приблизно у 112 000 rsETH.

Повне відновлення початкового $292 мільйона малоймовірне у найближчому майбутньому. Chainalysis і Certik продовжують відстежувати потоки коштів. Казна Aave з приблизно $181 мільйонами та поточні доходи забезпечують буфер проти реалізованих збитків. Пропозиції керівництва Kelp і Aave залишаються активними, оскільки спільнота обговорює механізми розподілу збитків.

У майбутньому галузь стикається з тиском щодо впровадження мульти-DVN кворумів, систем моніторингу інваріантів і всебічних аудитів позанланцюгової інфраструктури. Хоча зниження TVL у стейкінгу викликало потрясіння, основний стейкінг Ethereum залишається цілісним. Всі учасники повинні стежити за форумами керівництва Aave і Kelp, а також за звітами LayerZero про розбір інциденту для розвитку подій.