Злам Kelp DAO на $290 млн пов'язаний з групою Lazarus та слабкою безпекою мосту

Ключові висновки

• Приблизно $290–293 мільйони були викрадені у Kelp DAO внаслідок витонченої атаки на RPC-вузли, підключені до системи верифікації LayerZero
• Kelp DAO нібито знехтував рекомендаціями безпеки LayerZero щодо впровадження кількох верифікаторів, працюючи лише з одним верифікатором
• Попередні докази вказують на північнокорейську групу Lazarus як на виконавців цього порушення безпеки
• Дев'ять DeFi платформ, зокрема Aave, зазнали каскадних збитків, при цьому загальна заблокована вартість (TVL) Aave знизилася на $6 мільярдів
• Надалі LayerZero заявив, що відмовиться підтримувати додатки, які працюють з конфігураціями одного верифікатора

У тому, що є одним із найзначніших порушень безпеки децентралізованих фінансів (DeFi) 2026 року, Kelp DAO зазнав збитків у розмірі приблизно $290–293 мільйони під час атаки у вихідні. LayerZero, кросчейн протокол обміну повідомленнями, який використовувався в інциденті, приписав вразливість інфраструктурним рішенням Kelp.

Порушення зосереджувалося на механізмі передачі токенів rsETH Kelp через різні мережі блокчейнів. Робота з архітектурою одного верифікатора означала, що лише один орган повинен був валідувати кросчейн передачі. Згідно з LayerZero, компанія чітко попередила Kelp про цю конфігурацію та закликала впровадити кілька незалежних джерел верифікації.

Хакери проникли у два вузли віддаленого виклику процедур — спеціалізовані сервери, які дозволяють програмному забезпеченню взаємодіяти з даними блокчейну. Ці легітимні вузли були замінені скомпрометованими версіями, які передавали шахрайську інформацію до системи верифікації LayerZero, зберігаючи нормальний вигляд для інших компонентів інфраструктури.

Оскільки процес верифікації LayerZero також консультувався з легітимними зовнішніми вузлами, зловмисники запустили кампанію розподіленої атаки на відмову в обслуговуванні, щоб вимкнути ці системи. Ця тактика перенаправила мережевий трафік через скомпрометовану інфраструктуру протягом 80-хвилинного вікна з 10:20 до 11:40 за тихоокеанським часом у суботу.

Коли активувався механізм аварійного відновлення, зловмисні вузли передали підтвердження легітимної транзакції верифікатору. Протокол кросчейн мосту Kelp згодом випустив 116 500 rsETH на гаманці зловмисників. Вороже програмне забезпечення потім саморуйнувалося, стираючи всі судово-медичні докази з уражених серверів.

Каскадний вплив на екосистему DeFi

Викрадені токени rsETH були розміщені як активи забезпечення на різних кредитних платформах, що дозволило зловмисникам вивести справжні активи. Aave, домінуюча децентралізована кредитна платформа, поглинула найсуттєвішу шкоду.

Aave виявив себе з неліквідним забезпеченням rsETH, тоді як цінні активи, такі як ETH, вже були вилучені через механізми запозичення. Нативний токен Aave впав приблизно на 15% протягом 24-годинного періоду, тоді як протокол зазнав приблизно $6 мільярдів виведень, оскільки учасники поспішали вивести свої кошти.

Не менше дев'яти DeFi додатків зазнали збитків, включаючи Fluid, Compound Finance, SparkLend та Euler. Компанія з кібербезпеки Cyvers охарактеризувала інцидент як «міжпротокольну подію зараження», яка виходить далеко за межі вразливості однієї платформи.

З попередньою впевненістю LayerZero пов'язав цю атаку з північнокорейською групою Lazarus, зокрема з її підрозділом TraderTraitor. Ця ж організація була причетна до порушення Drift Protocol на $285 мільйонів 1 квітня, що вказує на те, що Lazarus вилучив понад $575 мільйонів з децентралізованих фінансів (DeFi) протягом 18-денного періоду, використовуючи дві різні методології атак.

Коригування протоколу безпеки

LayerZero повідомляє про відсутність доказів поширення вразливості на додатки, які працюють з багатоверифікаторними архітектурами. Компанія відновила свою службу верифікації та оголосила постійну політику відмови обробляти повідомлення для будь-якого додатка, що використовує конфігурації одного верифікатора.

Засновник Curve Finance Майкл Єгоров підкреслив, що це порушення демонструє властиві ризики покладання на поодинокі джерела верифікації транзакцій. Він додатково застеріг від використання кросчейн інфраструктури, якщо це не є операційно необхідним.

Kelp зберігає мовчання щодо версії подій LayerZero та не пояснив, чому протокол продовжував працювати з архітектурою одного верифікатора, незважаючи на отримання чітких попереджень про безпеку.

Публікація про порушення Kelp DAO на $290 мільйонів, пов'язане з групою Lazarus та слабкою безпекою кросчейн мосту, вперше з'явилася на Blockonomi.