Северокорейские кибер-операторы вытащили почти 300 миллионов долларов в результате межсетевого ограбления, нацеленного на протокол LayerZero компании KelpDAO

Ключевые факты Нарушение, в результате которого 18 апреля 2026 года опустошился перекрестный мост KelpDAO, началось шестью неделями ранее. 6 марта разработчик LayerZero Labs клонировал вредоносный репозиторий GitHub, установив вредоносное ПО FLATROOF и ROOFDECK на устройство компании. Вредоносное ПО предоставляло злоумышленникам удаленный доступ и позволяло им собирать сеансовые ключи для инфраструктуры удаленного вызова процедур (RPC) LayerZero.

Компании по кибербезопасности Mandiant и CrowdStrike с высокой степенью уверенности приписали атаку UNC4899, также известной как TraderTraitor — связанной с государством северокорейской группировке угроз. Согласно окончательному отчету LayerZero, опубликованному 18 мая 2026 года, общая сумма украденных средств составила 292 миллиона долларов по рыночным ценам на день взлома.

Поддельное межсетевое сообщение выпустило 116 500 rsETH после того, как один узел верификатора был скомпрометирован. Архитектура LayerZero опирается на децентрализованные сети верификаторов (DVN) для подтверждения легитимности межсетевых сообщений до того, как мостовые контракты высвободят средства. 18 апреля злоумышленники внедрили вредоносный код в два внутренних кластера RPC-серверов LayerZero. Внедренный код заставил эти серверы возвращать поддельное состояние блокчейна в службу подписи DVN, при этом инструменты мониторинга выглядели нормально.

Одновременно злоумышленники начали распределенную атаку типа «отказ в обслуживании» против внешнего поставщика RPC LayerZero. Это вынудило DVN обратиться исключительно к двум скомпрометированным внутренним узлам. DVN предоставил действительное свидетельство о поддельном межсетевом сообщении, а мостовой контракт Ethereum выпустил 116 500 rsETH — жидкий токен переразметки KelpDAO — на адрес злоумышленника. Ни одно другое приложение в сети LayerZero не пострадало.

LayerZero признает, что ей не удалось отследить, как ее собственный верификатор обеспечивает передачу ценных данных. Мост KelpDAO ранее работал с двумя DVN, необходимыми для подтверждения каждого сообщения — конфигурация 2 из 2. Он был изменен и теперь требует только одного верификатора, самого LayerZero Labs DVN, что создает единую точку отказа. LayerZero изначально возложил ответственность на выбор конфигурации KelpDAO. 8 мая 2026 года он изменил эту позицию.

«Мы допустили ошибку, позволив нашему DVN действовать как DVN 1/1 для транзакций на большие суммы. Мы не контролировали то, что защищал наш DVN, что создавало риск, которого мы просто не видели. Мы владеем этим», 8 мая 2026 г.

— Лаборатории LayerZero 

После признания LayerZero заявила, что ее DVN больше не будет подписывать аттестации для любого приложения, использующего конфигурацию «1 из 1». Значения протокола по умолчанию для всех путей были увеличены до минимума 3 из 3 верификаторов.

Solv Protocol перемещает токенизированную инфраструктуру моста Биткойн на сумму 700 миллионов долларов из LayerZero. Протокол Solv, который управляет токенизированными продуктами Биткойн, объявил, что перенесет инфраструктуру моста на сумму более 700 миллионов долларов из LayerZero после проведения проверки безопасности. Kelp также перевела свой мост rsETH со стандарта взаимозаменяемых токенов Omnichain LayerZero на альтернативный межсетевой протокол. Оба объявления последовали за публичным раскрытием эксплойта и признанием вины LayerZero.

Стандарты безопасности моста DeFi подвергаются пристальному вниманию, поскольку Ethereum поглощает последствия. На момент публикации Ethereum торговался на уровне 1980 долларов США, что на 5,5% ниже за последние семь дней (CoinPaprika, 2 июня 2026 г.). В более широкой экосистеме Ethereum DeFi находится большая часть инфраструктуры межсетевого моста по общей заблокированной стоимости, и после инцидента проводится переоценка предположений о безопасности.

Взлом KelpDAO выявил риск, выходящий за рамки только LayerZero. Любой мост, полагающийся на одного верификатора для подтверждения ценных межсетевых сообщений, несет в себе эквивалентную структурную уязвимость. 20 апреля 2026 года Совет безопасности Arbitrum заморозил 30 766 ETH в последующих фондах, связанных с злоумышленником, что частично ограничило более широкое влияние взлома на рынок.

Первоисточник: LayerZero Labs — Запоздалое извинение, 8 мая 2026 г. Компании по кибербезопасности Mandiant и CrowdStrike с высокой степенью уверенности приписали атаку UNC4899, также известной как TraderTraitor — связанной с государством северокорейской группировке угроз. Согласно последнему инциденту LayerZero, общая сумма украденных составила 292 миллиона долларов по рыночным ценам на день взлома.