Взлом Kelp DAO на 290 миллионов долларов связан с Lazarus Group и слабой безопасностью моста

Оглавление В результате одного из самых значительных нарушений безопасности децентрализованных финансов в 2026 году компания Kelp DAO во время атаки на выходных понесла убытки на общую сумму примерно 290–293 миллиона долларов. LayerZero, протокол межсетевого обмена сообщениями, использованный в инциденте, объяснил уязвимость инфраструктурными решениями Kelp. Ранее сегодня мы выявили подозрительную межсетевую активность с участием rsETH. На время расследования мы приостановили контракты rsETH в основной сети и на нескольких уровнях L2. Мы работаем с @LayerZero_Core, @unichain, нашими аудиторами и ведущими экспертами по безопасности RCA. Мы будем держать вас… — Kelp (@KelpDAO) 18 апреля 2026 г. Взлом был сосредоточен на механизме передачи токенов rsETH компании Kelp через различные сети блокчейнов. Использование архитектуры с одним верификатором означало, что для проверки межсетевых переводов требовался только один орган. По данным LayerZero, компания прямо предупредила Kelp об этой конфигурации и призвала использовать несколько независимых источников проверки. LayerZero: KelpDAO теряет около 290 миллионов долларов США из-за эксплойта, приписываемого группе Lazarus Group из КНДР LayerZero сообщил, что 18 апреля 2026 года KelpDAO подвергся эксплойту, в результате которого потери составили около 290 миллионов долларов США, предварительно приписываемые группе Lazarus Group КНДР (TraderTraitor). Атака отравила… pic.twitter.com/mfhQRaC2p9 — Wu Blockchain (@WuBlockchain) 20 апреля 2026 г. Хакеры проникли в два узла удаленного вызова процедур — специализированные серверы, позволяющие программному обеспечению взаимодействовать с данными блокчейна. Эти законные узлы были заменены скомпрометированными версиями, которые доставляли мошенническую информацию в систему проверки LayerZero, сохраняя при этом нормальный внешний вид для других компонентов инфраструктуры. Поскольку процесс проверки LayerZero также обращался к законным внешним узлам, злоумышленники запустили распределенную кампанию отказа в обслуживании, чтобы отключить эти системы. Эта тактика перенаправляла сетевой трафик через скомпрометированную инфраструктуру в течение 80-минутного окна с 10:20 до 11:40 по тихоокеанскому времени в субботу. При активации механизма аварийного переключения вредоносные узлы передавали верификатору подтверждение легитимной транзакции. Протокол моста Kelp впоследствии передал 116 500 rsETH в кошельки злоумышленников. Враждебное программное обеспечение затем самоустранилось, стерв все судебно-медицинские доказательства с затронутых серверов. Украденные токены rsETH использовались в качестве залога на различных кредитных платформах, что позволяло злоумышленникам вывести подлинные активы. Aave, доминирующая платформа децентрализованного кредитования, понесла наиболее существенный ущерб. Aave обнаружила, что у нее есть неликвидное обеспечение в виде rsETH, в то время как ценные активы, такие как ETH, уже были извлечены с помощью механизмов заимствования. Собственный токен Aave упал примерно на 15% за 24 часа, в то время как по протоколу было снято около 6 миллиардов долларов, поскольку участники пытались вывести свои средства. Пострадало не менее девяти приложений DeFi, включая Fluid, Compound Finance, SparkLend и Euler. Фирма по кибербезопасности Cyvers охарактеризовала инцидент как «событие межпротокольного заражения», выходящее далеко за рамки одной уязвимости платформы. По предварительной уверенности, LayerZero связал эту атаку с северокорейской Lazarus Group, в частности с ее подразделением TraderTraitor. Эта же организация была замешана в взломе Drift Protocol на сумму 285 миллионов долларов 1 апреля, что указывает на то, что Lazarus извлекла более 575 миллионов долларов из децентрализованного финансирования в течение 18-дневного периода, используя две разные методологии атаки. LayerZero не сообщает об отсутствии свидетельств распространения уязвимости на приложения, работающие с архитектурами с несколькими верификаторами. Компания восстановила свою службу проверки и объявила о постоянной политике отказа в обработке сообщений для любого приложения, использующего конфигурации с одним верификатором. Основатель Curve Finance Михаил Егоров подчеркнул, что это нарушение демонстрирует риски, присущие использованию отдельных источников проверки транзакций. Он также предостерег от использования кросс-чейн инфраструктуры, если это не является эксплуатационной необходимостью. По словам технического директора Ledger Шарля Гийме, 2026 год «скорее всего, будет худшим годом с точки зрения хакерских атак». Убытки от нарушений безопасности, связанных с криптовалютой, уже превысили 482 миллиона долларов в первом квартале 2026 года. Kelp хранит молчание относительно версии событий LayerZero и не объясняет, почему протокол продолжал работать с архитектурой с одним верификатором, несмотря на получение явных предупреждений безопасности.