18 апреля 2026 года KelpDAO столкнулся с крупнейшей в году атакой на безопасность DeFi. Злоумышленник воспользовался кроссчейн-мостом на базе LayerZero и похитил около 116 500 rsETH — сумма ущерба составила примерно 292 млн долларов. В отличие от классических уязвимостей смарт-контрактов, этот инцидент был системным сбоем безопасности, усиленным провалом модели доверия в кроссчейн-инфраструктуре и особенностями компонуемости DeFi-протоколов.
Ключевой технический изъян заключался в настройке архитектуры кроссчейн-верификации LayerZero. Мост rsETH в KelpDAO использовал решение LayerZero OFT (Omnichain Fungible Token), где безопасность обеспечивается DVN (Decentralized Verification Network). Однако в KelpDAO работал только один валидатор — схема 1 из 1, при которой подписи одного валидатора было достаточно для подтверждения кроссчейн-сообщений. Злоумышленник подделал кроссчейн-сообщение, что привело к автоматическому выводу активов на сумму около 292 млн долларов. Вся атака была реализована крайне быстро: от первого вызова функции до полного вывода средств прошло всего 46 минут.
После кражи атакующий внес украденные rsETH в качестве залога в Aave V3 и другие лендинговые протоколы, взял в долг крупную сумму в ETH и сформировал в Aave примерно 196 млн долларов безнадежной задолженности. Общая сумма заблокированных средств (TVL) в Aave снизилась с примерно 26,4 млрд до 18,6 млрд долларов, а токен AAVE за сутки потерял около 20% стоимости. Затем злоумышленник перевел примерно 30 766 ETH на адрес в сети Arbitrum One, что напрямую спровоцировало вмешательство совета по безопасности.
На каком основании совет по безопасности Arbitrum принял решение о вмешательстве?
Совет по безопасности Arbitrum — это орган из 12 членов, избираемый DAO Arbitrum. Члены совета сменяются по ротации, каждый служит 12 месяцев, при этом состав обновляется по шесть человек за цикл. Основная задача совета — оперативно реагировать в экстренных ситуациях, используя мультиподписной кошелек 9 из 12 для защиты безопасности и целостности экосистемы Arbitrum.
В данном случае совет вмешался после подтверждения личности злоумышленника при поддержке правоохранительных органов. В официальном заявлении Arbitrum отмечается, что совет действовал «на основании информации о личности злоумышленника, предоставленной правоохранительными органами». С точки зрения управления, это соответствует определению «катастрофической чрезвычайной ситуации» в документации по прогрессивной децентрализации Arbitrum, что дало совету юридические основания для вмешательства.
Важно понимать, что полномочия совета ограничены. Согласно уставу DAO Arbitrum, совет может обходить стандартные процедуры управления только в экстренных случаях и только при согласии не менее 9 из 12 членов. В этой ситуации девять членов проголосовали за заморозку средств, что соответствует минимальному порогу мультиподписи. Член совета Грифф Грин заявил в X, что решение «не было принято легкомысленно, а стало результатом бесчисленных часов технических, практических, этических и политических обсуждений».
Как технически была реализована блокировка средств на блокчейне?
Управляющий партнер Dragonfly Хасиб Куреши подробно описал технический механизм. Для заморозки использовалась транзакция ArbitrumUnsignedTxType (EIP-2718 тип 0x65/101) — это системная транзакция, которую невозможно создать с помощью обычных внешних аккаунтов (EOA) через подпись приватным ключом. Такие транзакции может инициировать только совет по безопасности с использованием ArbOS injection.
Это означает, что операция принципиально отличается от стандартных транзакций в блокчейне. Обычные транзакции авторизуются приватными ключами пользователей, а легитимность системной транзакции определяется правилами консенсуса сети, а не подписью конкретного пользователя. Совет по безопасности, получив согласие 9 из 12 членов, активировал базовые функции изменения состояния ArbOS и напрямую изменил баланс конкретного адреса — 30 766 ETH были переведены с адреса злоумышленника на промежуточный замороженный кошелек. Исполнение этой операции было обеспечено логикой самой сети.
Примечательно, что это не был традиционный «откат блокчейна». Ни один подтвержденный блок не был отменен, история транзакций не была переписана. Все записи на блокчейне, сделанные в ходе атаки, остались неизменными, что сохраняет принцип неизменяемости блокчейна. С точки зрения работы виртуальной машины, это была «восстановительная операция на уровне состояния»: приватный ключ злоумышленника по-прежнему может подписывать транзакции, однако основные активы на этом адресе были принудительно перемещены на кошелек под управлением сообщества в соответствии с правилами сети. Такой технический подход позволяет точечно вмешиваться без ущерба для целостности реестра блокчейна.
Операция по заморозке отличалась высокой точностью. В Arbitrum подчеркнули, что перевод «не затронул другие состояния сети или пользователей Arbitrum» и не повлиял на работу приложений в экосистеме. По состоянию на 23:26 (ET) 20 апреля средства были успешно перемещены на промежуточный замороженный кошелек, а исходный адрес злоумышленника утратил к ним доступ. Любое дальнейшее движение этих средств возможно только по согласованному решению управляющего органа Arbitrum.
Как вмешательство управления соотносится с принципами децентрализации?
Хотя заморозка позволила перехватить часть украденных средств, она вызвала бурные споры о границах децентрализованного управления сетью. Совет по безопасности второго уровня, при поддержке правоохранительных органов, вмешался и заблокировал активы на конкретном адресе в блокчейне — это стало важным прецедентом в истории DeFi.
Ключевой вопрос: являются ли неизменяемость блокчейна и устойчивость к цензуре абсолютными принципами, или допускаются исключения при определённых обстоятельствах? Сторонники считают, что при угрозе массовых потерь пользовательских средств экстренное вмешательство управляющих органов — необходимый инструмент для защиты экосистемы. Совет по безопасности, как избранный орган сообщества, выражает коллективную волю в крайних ситуациях. Критики же утверждают, что любая заморозка активов противоречит базовой философии блокчейна. В X многие пользователи раскритиковали решение Arbitrum, поставив под сомнение степень децентрализации сети, если совет может замораживать средства по своему решению.
С точки зрения системного проектирования, полномочия совета по безопасности Arbitrum четко определены. Согласно документации по прогрессивной децентрализации, совет может применять такие меры только в «катастрофических чрезвычайных ситуациях» и при достижении порога 9 из 12 подписей. Члены совета избираются DAO и могут быть отозваны голосованием сообщества или внутренней процедурой, что создает систему сдержек и противовесов. Однако этот случай выявил нерешенную проблему: при отсутствии автоматизированных ончейн-триггеров стандарт для признания ситуации «катастрофической» остается субъективным, что создает риски для управления.
Какие системные риски выявила инфраструктура кроссчейн-мостов?
Инцидент с безопасностью KelpDAO наглядно продемонстрировал уязвимость кроссчейн-инфраструктуры. За последние годы на взломы кроссчейн-мостов пришлось более 2,8 млрд долларов украденных средств — почти половина всех потерь в DeFi. Этот случай подтверждает тенденцию: главная уязвимость заключалась не в коде смарт-контракта, а в единой точке отказа в модели доверия кроссчейн-верификации.
В LayerZero отметили, что схема с одним валидатором DVN в KelpDAO противоречила отраслевым рекомендациям. LayerZero неоднократно настаивал на использовании нескольких валидаторов для повышения надежности, но эти рекомендации не были реализованы. В результате компрометация одного валидатора позволяла вывести все активы моста. Технический директор Ripple Дэвид Шварц в X подытожил: «Атака была гораздо сложнее, чем ожидалось, она использовала недосмотр в настройках KelpDAO и была нацелена на инфраструктуру LayerZero».
Модель доверия кроссчейн-инфраструктуры по сути является «компромиссом» с базовыми принципами децентрализации блокчейна. В мультичейн-экосистеме для передачи активов между сетями требуется посредник, который подтверждает и пересылает сообщения. Будь то мультиподпись, DVN или другой механизм, полностью избавиться от зависимости от конкретной группы валидаторов сложно. Случай KelpDAO показывает: если эта зависимость сводится к одной точке, мост становится критически уязвимым.
Как отрасль будет реформировать системы безопасности и управления?
Этот инцидент дает DeFi-отрасли несколько важных уроков.
В части кроссчейн-безопасности конфигурации с одним валидатором должны быть полностью исключены. LayerZero уже отключил затронутые узлы и восстановил работу DVN, но остается вопрос: сколько протоколов до сих пор используют аналогичные схемы с единой точкой отказа? Необходимы более строгие стандарты аудита и руководства по настройке кроссчейн-инфраструктуры, чтобы устранить такие риски на системном уровне.
В части управления требуется более четкий баланс между экстренными полномочиями совета по безопасности и сообществом. Сейчас область действия совета в «катастрофических чрезвычайных ситуациях» определяется субъективно, отсутствуют четкие ончейн-триггеры и механизмы постфактум-анализа. Возможное развитие — многоуровневая система реагирования, где степень полномочий зависит от тяжести инцидента, а легитимность экстренных мер оценивает независимый комитет.
Что касается распределения убытков, в инциденте KelpDAO общий ущерб составил около 292 млн долларов, из которых совет по безопасности Arbitrum смог заморозить примерно 71 млн — около четверти от всей суммы. Вопрос о покрытии оставшихся убытков — включая 196 млн долларов безнадежной задолженности в Aave, механизмы межпротокольного распределения потерь и возможные страховые выплаты — пока находится в стадии обсуждения. Этот кейс может подтолкнуть DeFi-протоколы к внедрению механизмов экстренного реагирования и распределения убытков уже на этапе проектирования, а не к поиску временных решений после происшествий.
Заключение
От взлома кроссчейн-моста до заморозки 30 766 ETH советом по безопасности — инцидент с KelpDAO стал показательным примером работы механизмов реагирования DeFi на масштабные атаки. Главная дилемма — несовершенство моделей доверия в кроссчейн-инфраструктуре и ограничения децентрализованного управления — будет определять дальнейшие реформы и развитие систем безопасности в отрасли. Успешная заморозка 30 766 ETH стала важной вехой в вопросе возврата активов, но породила больше вопросов, чем ответов: кто определяет «катастрофическую чрезвычайную ситуацию»? Как внедрять стандарты экстренного реагирования на уровне блокчейна? Как оптимизировать модели доверия кроссчейн-инфраструктуры с учетом безопасности и децентрализации? Ответы на эти вопросы будут формировать эволюцию DeFi на годы вперед.
Часто задаваемые вопросы (FAQ)
Как совет по безопасности Arbitrum смог точно заморозить средства, не затронув других пользователей?
Совет применил технический системный подход, нацеленный на конкретный адрес. С помощью транзакции ArbitrumUnsignedTxType через ArbOS injection было осуществлено прямое перемещение 30 766 ETH с адреса злоумышленника на промежуточный замороженный кошелек. Эта операция не затронула историю блоков, балансы или работу контрактов других пользователей. Ее точность заключается в изменении состояния только целевого адреса.
Что будет с замороженными 30 766 ETH?
В настоящий момент эти средства находятся на промежуточном кошельке, который полностью контролируется управляющим органом Arbitrum. Любое последующее движение средств возможно только после утверждения через процедуру управления Arbitrum и согласования с заинтересованными сторонами. Конкретный план возврата средств пока не объявлен и, вероятно, будет зависеть от хода расследования и юридических процедур.
Как заморозка повлияла на общее урегулирование инцидента с безопасностью KelpDAO?
В результате действий совета удалось вернуть около 71 млн долларов — почти четверть всех украденных средств — и существенно ограничить контроль злоумышленника над активами. Однако окончательное разрешение ситуации вокруг KelpDAO — включая покрытие примерно 196 млн долларов безнадежной задолженности в Aave, распределение ответственности между KelpDAO и LayerZero, а также вопросы компенсаций между протоколами — остается открытым.
