#KelpDAOBridgeHacked

Екосистема децентралізованих фінансів зазнала однієї з найсерйозніших збоїв у безпеці на сьогоднішній день. Kelp DAO, відомий протокол для повторного залучення ліквідності, зазнав руйнівної експлуатації, спрямованої на його міжланцюговий міст rsETH. За кілька хвилин було знято приблизно 116 500 rsETH — на суму від $292 мільйонів до $293 мільйонів доларів — що становить майже 18% від загальної циркулюючої пропозиції токенів. Ця подія тепер є найбільшим зломом у DeFi, зафіксованим у 2026 році.

Злом виник у межах інфраструктури мосту Kelp DAO, яка базувалася на системі міжланцюгових повідомлень LayerZero. Зокрема, зловмисник використав функцію lzReceive у контракті EndpointV2. Створивши та вставивши фальшиве міжланцюгове повідомлення, він обійшов перевірки верифікації. Система була введена в оману, вважаючи повідомлення легітимним, що спричинило несанкціонований випуск коштів на гаманець, контрольований зловмисником.
Що робить цю атаку особливо тривожною, так це те, що вона базувалася на стандартній поведінці протоколу, а не на складній уразливості. Аналітики вважають, що надмірна залежність від налаштувань за замовчуванням і недостатні рівні валідації в системі повідомлень зіграли критичну роль. Підготовка зловмисника також була навмисною — гаманець, використаний у зломі, був поповнений через Tornado Cash приблизно за 10 годин до цього, що є поширеною тактикою для приховування походження транзакцій і ускладнення відслідковування.

Міжланцюгова природа мосту посилила масштаби збитків. Оскільки rsETH був розгорнутий у мережі Ethereum і кількох мережах Layer-2, таких як Arbitrum, злом швидко поширився по всіх екосистемах. Це багатоланцюгове уразливе місце значно збільшило швидкість і масштаб втрат.
Kelp DAO швидко відреагував після виявлення аномальної активності. Команда негайно призупинила контракти rsETH у мережі Ethereum і кількох мережах Layer-2, ефективно запобігши подальшим втратам, які оцінювалися понад $100 мільйонів доларів. У своєму початковому заявленні вони підтвердили активну співпрацю з інфраструктурними партнерами, аудиторами та експертами з безпеки для проведення всебічного розслідування.

Незважаючи на швидку реакцію, наслідки були серйозними. Злом викликав масову паніку на ринках DeFi, спричинивши кризу ліквідності. Користувачі поспішали знімати кошти, що спричинило каскадний ефект «банківської паніки». Основні платформи кредитування, зокрема Aave, запровадили надзвичайні заходи, такі як замороження ринків. Приблизно $9 мільярдів — близько третини загальної заблокованої вартості Aave — було знято за короткий час, що призвело до оцінюваних збитків у розмірі від $196 мільйонів до $236 мільйонів доларів у поганому боргу.

Інші протоколи, включаючи SparkLend, Fluid, Upshift і Morpho, також зазнали значного навантаження. У ширшій екосистемі загальна заблокована вартість знизилася приблизно на $8 мільярдів до $13 мільярдів протягом 48 годин. Відлуння удару поширилися за межі Ethereum, вплинувши на пул ліквідності на інших ланцюгах, зокрема Solana.
Піднялися спекуляції щодо можливої участі Lazarus Group, кіберзлочинної організації, пов’язаної з Північною Кореєю, відомої цілеспрямованими атаками на криптоплатформи. Хоча деякі внутрішньосистемні індикатори свідчать про можливі зв’язки, офіційного підтвердження поки що не зроблено.

Тим часом, зловмисник уже почав переміщати кошти, обмінюючи частину на ETH у різних мережах, щоб ускладнити відстеження.
Цей інцидент підкреслює давню проблему у DeFi: міжланцюгові мости залишаються одними з найуразливіших компонентів блокчейн-інфраструктури. Хоча вони забезпечують безшовну взаємодію, вони також створюють критичні поверхні для атак — особливо коли механізми валідації повідомлень недостатньо надійні.

Злом Kelp DAO слугує різким попередженням. Це підкреслює нагальну необхідність удосконалення систем безпеки, включаючи багаторівневі системи верифікації, суворішу логіку валідації та кращі практики управління ризиками. Поки триває розслідування, галузь очікує повного звіту Kelp DAO, який має надати глибше розуміння причин збою та окреслити кроки для запобігання подібним інцидентам у майбутньому.
📌 Деталі:
https://www.gate.com/announcements/article/50593
‍#GateSquare #CreatorCarnival #ContentMining #Gate13周年