20 апреля 2026
Эксперты LayerZero связали крупный взлом Kelp DAO с ошибочной настройкой механизма верификации в мосте rsETH. По версии аналитиков, проблема возникла не в базовой инфраструктуре протокола, а на уровне конфигурации приложения. Kelp DAO использовала схему DVN 1/1, при которой подтверждение межсетевых сообщений зависело только от 1 проверяющего узла. Такая модель создала единственную точку отказа и резко снизила устойчивость всей системы.
Именно это позволило злоумышленнику провести несанкционированный вывод активов. В результате атаки из моста было выведено около 116,5 тыс. rsETH. На момент инцидента стоимость похищенных средств оценивалась примерно в $292–293 млн. По предварительным данным, за атакой могут стоять хакеры, связанные с Северной Кореей.
LayerZero подчеркивает, что ранее рекомендовала Kelp DAO отказаться от конфигурации с единственным DVN и перейти на модель с несколькими независимыми верификаторами. Такой подход должен был снизить риск компрометации одного элемента и повысить надежность межсетевой передачи данных. После взлома компания Kelp DAO заявила, что намерена прекратить подписание и подтверждение сообщений для приложений, которые продолжают использовать схему 1/1 без дополнительных уровней защиты.
Украденные rsETH были использованы в экосистеме Aave как залог для получения ликвидности, что спровоцировало давление на один из крупнейших DeFi-сервисов. На этом фоне общий объем заблокированных средств в Aave сократился примерно на $8,9 млрд и снизился до $17,5 млрд.
Одновременно в системе сформировалось около $195 млн проблемной задолженности, что вызвало рост негатива среди пользователей и спровоцировало вывод капитала.
На рынке почти сразу началась дискуссия о том, кто должен покрывать полученные убытки. В числе возможных ответственных называют Kelp DAO, LayerZero, Aave и держателей rsETH. Основатель OneKey Иши Ван считает, что первым шагом могут стать переговоры с атакующим и предложение вознаграждения в размере 10–15% от похищенной суммы.
Под заказ
В наличии
