Kelp DAO публічно оскаржила звіт, що характеризує інцидент з мостом rsETH як експлойт, стверджуючи, що стандартні налаштування LayerZero, а не навмисна атака, були відповідальні за заявлені збитки в розмірі 290 мільйонів доларів. Суперечка переосмислює інцидент 18 квітня від зовнішньої експлуатації до збою конфігурації інфраструктури.
Що стверджував звіт про атаку на міст rsETH
Що було втрачено згідно з повідомленнями
Оцінка безпеки, опублікована CredShields, описала інцидент з мостом rsETH як експлойт, що стосується кросчейн мостової інфраструктури Kelp DAO, вказуючи приблизно 290 мільйонів доларів збитків. У звіті використовувалася термінологія, що відповідає навмисній зовнішній атаці.
Чому інцидент був описаний як атака на міст
Звіт CredShields сформулював подію, використовуючи термінологію експлойту, натякаючи на те, що загрозливий актор виявив і використав вразливість у механізмі мосту. Ця характеристика позиціонувала інцидент поряд з іншими резонансними злами DeFi мостів, а не розглядала його як операційний збій.
Однак формулювання в самому заголовку сигналізує про суперечливу характеристику. Відповідь Kelp DAO, задокументована в потоці управління Aave, безпосередньо оскаржує інтерпретацію експлойту.
Чому Kelp DAO оскаржує наратив про атаку
Центральне спростування Kelp DAO
Контрпозиція Kelp DAO, представлена в обговоренні управління Aave, повністю відкидає ярлик атаки. Протокол стверджує, що втрата сталася через те, як були налаштовані стандартні параметри кросчейн обміну повідомленнями LayerZero, а не через те, що супротивник виявив новий шлях експлойту.
Це не незначна семантична відмінність. Класифікація інциденту як атаки передбачає недбалість безпеки в захисті від зовнішніх загроз. Класифікація його як збою конфігурації переносить відповідальність на стандартні налаштування інфраструктури та вибір інтеграції.
Які частини звіту оскаржуються
Kelp DAO оскаржує як механізм причинно-наслідкового зв'язку, так і підтекстовий наратив. Протокол не заперечує, що сталися втрати, але оскаржує характеристику CredShields того, як і чому ці втрати сталися.
Конфлікт конкретний: звіт CredShields приписує причинність вектору експлойту, тоді як спростування управління Kelp DAO приписує причинність стандартним параметрам LayerZero, які були недостатніми для забезпечуваної вартості.
Як стандартні налаштування LayerZero стали центром уваги
Роль стандартних налаштувань у версії подій Kelp DAO
Згідно з розповіддю Kelp DAO в потоці управління, стандартні налаштування LayerZero для кросчейн верифікації повідомлень не мали гарантій безпеки, необхідних для високовартісних активів на мосту. Протокол стверджує, що ці заводські налаштування створили умови для втрати без необхідності складного експлойту.
Стандартні налаштування в кросчейн обміні повідомленнями визначають, як транзакції валідуються між мережами. Якщо їх не змінювати, вони можуть застосовувати однаковий поріг верифікації до переказу в 100 доларів і переказу в 100 мільйонів доларів, створюючи ризик пропорційно вартості без пропорційної безпеки.
Чому проблема конфігурації відрізняється від заяви про атаку
Якщо формулювання Kelp DAO справедливе, інцидент стає питанням спільної відповідальності між протоколами, що будуються на кросчейн інфраструктурі, та рівнями обміну повідомленнями, від яких вони залежать. Це принципово відрізняється від сценарію, де зовнішній атакуючий знайшов вразливість нульового дня.
Окремий звіт, що відзначає визнання LayerZero групи Lazarus як імовірного актора в пов'язаних кросчейн інцидентах, додає складності. Існування загрозливих акторів державного рівня, які націлені на мостову інфраструктуру, не автоматично підтверджує ані експлойтне, ані конфігураційне формулювання для цього конкретного інциденту.
Що означає втрата 290 мільйонів доларів для rsETH та ризику DeFi
Чому цифра 290 мільйонів доларів має значення
Заявлена втрата розміщує це серед найбільших інцидентів DeFi у 2026 році. Для власників rsETH та протоколів з експозицією rsETH визначення основної причини безпосередньо впливає на очікування відновлення, страхові претензії та довіру до активу в майбутньому.
Обговорення управління Aave відображає, як нижчестоячі протоколи переоцінюють експозицію до ліквідних токенів рестейкінгу. Коли відбувається інцидент з мостом такого масштабу, контрагенти повинні оцінити, чи відповідає інфраструктура базового активу їхнім стандартам ризику, занепокоєння, подібне до тих, що виникають, коли установи тримають значні позиції ETH в рамках складних схем зберігання.
Питання, які власники rsETH та контрагенти задаватимуть далі
Суперечка щодо класифікації має практичні наслідки. Якщо інцидент буде визнано збоєм конфігурації, відповідальність може частково покластися на LayerZero за неадекватні налаштування та частково на Kelp DAO за те, що не перевизначила їх. Якщо буде визнано експлойтом, Kelp DAO зіткнеться з суворішим вивченням дизайну безпеки мосту.
Проекти, що будують кросчейн функціональність, включаючи ті, що прагнуть свіжого фінансування для розвитку інфраструктури, зіткнуться з важчими питаннями щодо їхніх конфігурацій рівня обміну повідомленнями. Інцидент підкреслює прогалину в стандартах безпеки DeFi: наразі не існує загальногалузевої вимоги, яка б зобов'язувала протоколи перевизначати стандартні налаштування мосту перед запуском з коштами користувачів.
Для протоколів, що стурбовані відповідальним управлінням та прозорістю, суперечка підкреслює, що класифікація інциденту є не просто академічною. Вона визначає, хто платить, хто відбудовує довіру та що змінюється в тому, як розгортається кросчейн інфраструктура.
Поширені запитання про інцидент Kelp DAO та rsETH
Чи підтвердила Kelp DAO атаку на міст rsETH?
Ні. Kelp DAO явно оскаржує характеристику "атаки" в потоці управління Aave, стверджуючи, що втрата сталася через стандартні налаштування конфігурації LayerZero, а не через навмисний експлойт зовнішнім атакуючим.
Що Kelp DAO звинувачує у втраті 290 мільйонів доларів?
Kelp DAO вказала на стандартні налаштування LayerZero для кросчейн верифікації повідомлень, стверджуючи, що ці налаштування були неадекватними для забезпечення вартості, що транзитує через міст.
Чому стандартні налаштування LayerZero є центральними в суперечці?
Стандартні налаштування визначають, як кросчейн повідомлення валідуються. Kelp DAO стверджує, що незмінені налаштування створили прогалину в безпеці, що призвела до втрати, роблячи це питанням відповідальності конфігурації, а не новим експлойтом.
Це формулюється як злом чи проблема конфігурації?
Обидва формулювання існують у публічних записах. Звіт CredShields використовує термінологію експлойту, тоді як спростування управління Kelp DAO приписує втрату стандартним налаштуванням. Класифікація залишається суперечливою станом на квітень 2026 року.
Відмова від відповідальності: ця стаття призначена лише для інформаційних цілей і не є фінансовою чи інвестиційною порадою. Ринки криптовалют та цифрових активів несуть значний ризик. Завжди проводьте власне дослідження перед прийняттям рішень.
Джерело: https://coincu.com/defi/kelp-dao-rseth-bridge-attack-report-layerzero-290m-loss/
