18 апреля 2026 года протокол рестейкинга KelpDAO стал жертвой целевой атаки, в результате которой злоумышленники похитили 116 500 rsETH на сумму около $292 млн. Согласно анализу безопасности, проведённому инфраструктурным провайдером LayerZero, за атакой с высокой вероятностью стоит северокорейская хакерская группа Lazarus, в частности подразделение TraderTraitor. Это крупнейший инцидент в сфере децентрализованных финансов (DeFi) с начала года.
Механика атаки была сложной и многоэтапной. Злоумышленники получили доступ к списку RPC-нод, используемых децентрализованной верификационной сетью (DVN) LayerZero. Они скомпрометировали и "отравили" две из этих нод, заставив их передавать в сеть поддельные кросс-чейн сообщения. Одновременно была запущена DDoS-атака на исправные ноды, что вынудило DVN полагаться на скомпрометированные узлы. Это позволило фальшивому сообщению пройти валидацию и разблокировать токены на мосту KelpDAO.
Ключевой уязвимостью стала конфигурация безопасности самого KelpDAO. Протокол использовал упрощённую схему верификации 1/1 DVN без резервных проверяющих, что создало единую точку отказа. Как заявили в LayerZero, "работа с конфигурацией, имеющей единую точку отказа, означала отсутствие независимого верификатора, который мог бы обнаружить и отклонить поддельное сообщение". Компания отметила, что ранее рекомендовала KelpDAO диверсифицировать DVN, и теперь отказывается подписывать сообщения для приложений с конфигурацией 1/1.
Последствия для рынка DeFi оказались значительными. Злоумышленник переместил похищенные rsETH в протокол Aave (V3), использовав их в качестве залога для крупных займов в WETH. Это вызвало опасения по поводу потенциальных плохих долгов в Aave, что привело к заморозке рынков rsETH как в V3, так и в новой версии V4. Основатель Aave Стани Кулечов подтвердил, что актив лишён залоговой силы из-за инцидента.
Данные Aavescan показали, что после атаки из протокола было выведено более $10 млрд, а общий объём предоставленных средств упал с $45,8 млрд до $35,7 млрд. Общая стоимость заблокированных средств (TVL) во всём сегменте DeFi сократилась на 7% за 24 часа — примерно до $86,3 млрд с $99,5 млрд 18 апреля. В качестве меры предосторожности несколько крупных протоколов, включая Ethena, ether.fi, Tron DAO и Curve Finance, приостановили работу мостов LayerZero OFT.
LayerZero подчеркнула, что для других активов и приложений, использующих многокомпонентные настройки DVN, риска заражения ("zero contagion") нет. Инфраструктура KelpDAO была заменена и усилена. Расследование по отслеживанию средств продолжается силами правоохранительных органов.
