Взлом Kelp DAO на $290 млн связан с группировкой Lazarus и слабой защитой моста

Ключевые выводы

• Примерно 290–293 млн $ было украдено из Kelp DAO после изощренной атаки на RPC-узлы, подключенные к системе проверки безопасности LayerZero
• Kelp DAO предположительно проигнорировала рекомендации LayerZero по безопасности о внедрении нескольких верификаторов, работая только с одним верификатором
• Предварительные доказательства указывают на северокорейскую группу Lazarus как на исполнителей этого нарушения безопасности
• Девять DeFi-платформ, в первую очередь Aave, понесли каскадный ущерб, при этом общая заблокированная стоимость (TVL) Aave снизилась на 6 млрд $
• В дальнейшем LayerZero заявила, что откажется поддерживать приложения, работающие с конфигурациями с одним верификатором

В результате одного из самых значительных нарушений безопасности в децентрализованных финансах (DeFi) 2026 года, Kelp DAO понесла убытки на сумму около 290–293 млн $ в результате атаки в выходные дни. LayerZero, кросс-чейн протокол обмена сообщениями, использованный в инциденте, приписал уязвимость решениям инфраструктуры Kelp.

Нарушение было сосредоточено на механизме передачи токенов rsETH компании Kelp через различные сети блокчейна. Работа с архитектурой с одним верификатором означала, что только один орган должен был валидировать кросс-чейн переводы. По данным LayerZero, компания явно предупреждала Kelp об этой конфигурации и призывала принять несколько независимых источников верификации.

Хакеры проникли в два узла удаленного вызова процедур — специализированные серверы, позволяющие программному обеспечению взаимодействовать с данными блокчейна. Эти легитимные узлы были заменены скомпрометированными версиями, которые передавали мошенническую информацию в систему проверки безопасности LayerZero, сохраняя при этом нормальный вид для других компонентов инфраструктуры.

Поскольку процесс верификации LayerZero также консультировался с легитимными внешними узлами, злоумышленники запустили распределенную атаку типа «отказ в обслуживании», чтобы отключить эти системы. Эта тактика перенаправила сетевой трафик через скомпрометированную инфраструктуру в течение 80-минутного окна с 10:20 до 11:40 по тихоокеанскому времени в субботу.

Когда механизм аварийного переключения активировался, вредоносные узлы передали подтверждение легитимной транзакции верификатору. Кроссчейн-мост протокол Kelp впоследствии выпустил 116 500 rsETH на кошельки злоумышленников. Враждебное программное обеспечение затем самоуничтожилось, стирая все криминалистические доказательства с пострадавших серверов.

Каскадное воздействие на экосистему DeFi

Украденные токены rsETH были использованы в качестве залоговых активов на различных платформах кредитования, что позволило злоумышленникам вывести реальные активы. Aave, доминирующая децентрализованная платформа кредитования, понесла наиболее существенный ущерб.

Aave оказалась с неликвидным залоговым обеспечением rsETH, в то время как ценные активы, такие как ETH, уже были извлечены через механизмы заимствования. Нативный токен Aave упал примерно на 15% в течение 24-часового периода, в то время как протокол испытал примерно 6 млрд $ вывода средств, поскольку участники спешили вывести свои средства.

Не менее девяти DeFi-приложений понесли ущерб, включая Fluid, Compound Finance, SparkLend и Euler. Компания по кибербезопасности Cyvers охарактеризовала инцидент как «межпротокольное событие заражения», выходящее далеко за пределы уязвимости одной платформы.

С предварительной уверенностью LayerZero связала эту атаку с северокорейской группой Lazarus, в частности с ее подразделением TraderTraitor. Эта же организация была замешана в нарушении протокола Drift на 285 млн $ 1 апреля, что указывает на то, что Lazarus извлекла более 575 млн $ из децентрализованных финансов (DeFi) за 18-дневный период, используя две различные методологии атак.

Корректировки протокола безопасности

LayerZero сообщает об отсутствии доказательств распространения уязвимости на приложения, работающие с многоверификационными архитектурами. Компания восстановила свою службу верификации и объявила о постоянной политике отказа обрабатывать сообщения для любого приложения, использующего конфигурации с одним верификатором.

Основатель Curve Finance Майкл Егоров подчеркнул, что это нарушение демонстрирует присущие риски зависимости от одиночных источников верификации транзакций. Он дополнительно предостерег от использования кросс-чейн инфраструктуры, если она не является операционно необходимой.

Kelp хранит молчание относительно версии событий LayerZero и не ответила на вопрос, почему протокол продолжал работать с архитектурой с одним верификатором, несмотря на получение явных предупреждений о безопасности.

Статья «Взлом Kelp DAO на 290 млн $ связан с группой Lazarus и слабой безопасностью кроссчейн-моста» впервые появилась на Blockonomi.