Инцидент с мостом rsETH протокола KelpDAO, случившийся 18 апреля, вылился в глубокий кризис доверия к межсетевой инфраструктуре LayerZero. Атака, предположительно связанная с северокорейской группой Lazarus, привела к краже примерно 116 500 токенов rsETH на сумму около $292 млн.
Корнем проблемы стала конфигурация с единственным валидатором (1-of-1 Decentralized Verifier Network), то есть одна нода могла подтверждать операции с многомиллионными активами. Хотя LayerZero подчеркнула, что её базовый протокол не был скомпрометирован, компания признала ошибку: внутренние RPC-узлы, используемые их валидатором, оказались атакованы Lazarus, а внешние RPC-провайдеры подверглись DDoS-атакам. «Мы плохо справились с коммуникацией», — извинились в LayerZero, добавив, что инцидент затронул лишь 0,14% приложений и 0,36% стоимости активов на платформе.
Впрочем, последствия оказались масштабными. KelpDAO первым объявил о переходе на Chainlink CCIP, а вслед за ним о миграции заявили другие протоколы. По оценке аналитика Тома Вана, проекты с совокупным TVL около $2 млрд покидают LayerZero: KelpDAO (~$1,5 млрд), Solv Protocol ($600 млн) и re ($200 млн). При этом крупные активы — USDe от Ethena, weETH от EtherFi и WBTC от BitGo — по-прежнему используют стандарт OFT от LayerZero.
Chainlink CCIP, в отличие от LayerZero, требует для валидации транзакций не менее 16 независимых операторов нод. KelpDAO подчеркнул, что смена инфраструктуры напрямую устраняет архитектурную слабость, приведшую к атаке.
Параллельно развернулись усилия по возмещению ущерба. Инициативная группа DeFi United, куда вошли Aave, KelpDAO, LayerZero и другие, привлекла уже более $300 млн в криптовалюте для восстановления обеспечения rsETH. LayerZero предоставила 10 000 ETH (половина — пожертвование, половина — кредит Aave). Ситуацию осложнило решение Arbitrum Security Council заморозить 30 766 ETH, связанных с эксплойтом, — на них претендуют истцы с исками о терроризме против КНДР. Aave подал экстренный запрос о разблокировке этих средств для пострадавших пользователей.
LayerZero также анонсировала ужесточение политики безопасности: отказ от обслуживания конфигураций 1-of-1, переход на мультивалидаторные схемы (минимум 3 из 3 или 5 из 5), внедрение системы OneSig для мультиподписей и платформы Console для управления выпуском активов с предупреждениями о небезопасных настройках.
Инцидент стал не просто историей одного взлома, но и катализатором переосмысления стандартов кросс-чейн безопасности в DeFi.
