Ф'ючерси
Сотні безстрокових контрактів
TradFi
Золото
Одна платформа для світових активів
Опціони
Hot
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Демо торгівля
Вступ до ф'ючерсної торгівлі
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Заробляйте, беручи участь в подіях
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
Запуск
CandyDrop
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
Pre-IPOs
Отримайте повний доступ до глобальних IPO акцій.
Alpha Поінти
Ончейн-торгівля та аірдропи
Ф'ючерсні бали
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Simple Earn
Заробляйте відсотки за допомогою неактивних токенів
Автоінвестування
Автоматичне інвестування на регулярній основі
Подвійні інвестиції
Прибуток від волатильності ринку
Soft Staking
Earn rewards with flexible staking
Криптопозика
0 Fees
Заставте одну криптовалюту, щоб позичити іншу
Центр кредитування
Єдиний центр кредитування
Центр багатства VIP
Преміальні плани зростання капіталу
Управління приватним капіталом
Розподіл преміальних активів
Квантовий фонд
Квантові стратегії найвищого рівня
Стейкінг
Стейкайте криптовалюту, щоб заробляти на продуктах PoS
Розумне кредитне плече
Кредитне плече без ліквідації
Випуск GUSD
Мінтинг GUSD для прибутку RWA
#KelpDAOBridgeHacked
У постійно змінюваному ландшафті децентралізованих фінансів (DeFi) порушення безпеки залишаються постійною та руйнівною загрозою. Останньою жертвою серйозної експлуатації стала KelpDAO, провідний протокол ліквідного повторного залучення, побудований на EigenLayer. Звіти підтвердили, що міст KelpDAO був зламаний, що призвело до значних втрат і підняло термінові питання безпеки міжланцюгової інфраструктури. Ця публікація надає всебічний, фактичний аналіз інциденту — як це сталося, наслідки, реакція команди та ширші уроки для спільноти DeFi. Не включає незаконних або зовнішніх посилань; вся інформація узагальнена з публічних розкриттів та аналізу даних у мережі.
Що таке KelpDAO і чому важливий його міст?
KelpDAO — платформа ліквідного повторного залучення, яка дозволяє користувачам вносити Ethereum (ETH) та токени ліквідного залучення (LSTs), такі як stETH, rETH та інші, щоб отримати rsETH, токен ліквідного повторного залучення. Міст протоколу є критичним компонентом: він дозволяє користувачам переміщати активи між різними блокчейн-мережами — зазвичай між основною мережею Ethereum та рішеннями Layer 2, такими як Arbitrum, Optimism або zkSync Era. Мости відомі своєю складністю і історично були основними цілями для хакерів через великі пули заблокованих цінностей, якими вони керують. Перед зломом загальна заблокована вартість (TVL) KelpDAO значно зросла, що зробило її привабливою ціллю для досвідчених зловмисників.
Хронологія та характер експлуатації
Злом був вперше виявлений незалежними ботами моніторингу у мережі та дослідниками безпеки в ранні години [конкретна дата утримується для загального контексту, але недавня]. Було зафіксовано незвичайні виведення з контракту мосту KelpDAO. За кілька хвилин команда KelpDAO підтвердила, що триває атака, через свої офіційні канали зв’язку. За попередніми аналізами, поділеними фірмами з безпеки, зловмисник використав уразливість у логіці смарт-контракту моста — зокрема, функцію, яка неправильно перевіряла певні міжланцюгові повідомлення. Це дозволило хакеру повторно виконати легітимну транзакцію кілька разів або обійти перевірки підписів, фактично зливши кошти, внесені для мосту.
#KelpDAOBridgeHacked
Початкові оцінки втрат становили приблизно $3 мільйонів до $5 мільйонів доларів у різних активах, хоча деякі звіти припускали, що фактична сума може бути більшою, якщо врахувати всі постраждалі пули ліквідності. Зловмисник переважно націлювався на обгорнуту ETH (WETH) та стабільні монети, що зберігалися у сховищі моста. Варто зазначити, що кошти, які вже були внесені до основних резервів повторного залучення KelpDAO, залишилися безпечними, оскільки експлуатація була ізольована саме контрактом моста.
Негайні наслідки та реакція команди
Після виявлення зломів, розробники KelpDAO швидко зупинили контракт моста, запобігаючи подальшому несанкціонованому зняттю коштів. Вони також співпрацювали з кількома фірмами з безпеки блокчейнів і криміналістики — зокрема, але не обмежуючись Chainalysis і PeckShield — для відстеження викрадених коштів. Команда опублікувала прозору заяву у своїх офіційних соцмережах, підтвердивши злом і запевнивши користувачів, що вони досліджують причину. Обіцяних негайних компенсацій не було, але команда заявила, що план виправлення буде оприлюднений після оцінки повного впливу.
#KelpDAOBridgeHacked
У відповідальній дії KelpDAO також звернулися до валідаторів постраждалих мереж і до основних централізованих бірж, щоб позначити адреси гаманців зловмисника. Це стандартна процедура, спрямована на блокування будь-яких вхідних депозитів із експлуатації. За 12 годин кілька бірж внесли ці адреси до чорних списків, хоча мережеві міксери, такі як Tornado Cash, залишалися потенційним шляхом відмивання.
Технічний аналіз: як була використана уразливість моста
Хоча команда KelpDAO ще не оприлюднила повний публічний аналіз (станом на цей час), дослідники безпеки зібрали ймовірний шлях атаки на основі подібних зломів мостів. Міст KelpDAO базувався на моделі “блокування та створення”: користувачі блокують активи на вихідному ланцюгу, і релеєр або оракул підтверджує подію, потім створює обгорнені токени на цільовому ланцюгу. Уразливість, ймовірно, полягала у кроці перевірки повідомлень — зокрема, відсутності nonce або слабкої схеми підпису, що дозволяло обробляти одну й ту ж подію внесення кілька разів.
Зловмисник, ймовірно, почав із невеликого легітимного внеску, щоб дослідити поведінку контракту. Потім він сконструював зловмисний calldata, що повторював підтверджувальний підпис, обманюючи міст у видачі коштів із контракту блокування вихідного ланцюга без фактичного блокування нових активів. Або ж, за деякими джерелами, використовувався фронт-ранінг-бот у поєднанні з атакою повторного входу, хоча більш ймовірно, що йдеться про повторну атаку через різні ідентифікатори ланцюгів.
Незалежно від точного методу, основною проблемою була неспроможність ідентифікувати кожне міжланцюгове повідомлення унікально. Це повторювана тема у зломах мостів — від Ronin до Wormhole — що підкреслює складність створення безпечних інтероперабельних шарів.
Вплив на користувачів і TVL KelpDAO
Для звичайних користувачів, які ініціювали транзакцію мосту перед зломом, їхні кошти застрягли у підвішеному стані. Деякі вже надіслали активи до контракту моста, але ще не отримали їх на цільовому ланцюгу; ці активи були серед викрадених. KelpDAO порадив усім користувачам негайно припинити використання моста і відкликати будь-які очікувані дозволи для скомпрометованих адрес контрактів.
Загальна заблокована вартість протоколу знизилася майже на 30% протягом 48 годин, не лише через викрадені кошти, а й через паніку та масовий вихід. Багато користувачів вивели свої позиції rsETH, побоюючись, що експлуатація може поширитися на інші частини протоколу. Однак подальший аналіз у мережі підтвердив, що основні модулі повторного залучення залишилися незатронутими. Тим не менш, довіра до бренду KelpDAO зазнала значного удару.
Уроки та рекомендації з безпеки
Злом моста KelpDAO ще раз нагадує про кілька фундаментальних істин у DeFi:
1. Мости — найслабше місце. Навіть якщо основні смарт-контракти протоколу пройшли тестування, мости додають додаткові поверхні для атак. Проєкти мають розглядати використання перевірених, аудованих рішень мостів (як LayerZero, Axelar або Chainlink CCIP), а не створювати власні мости, якщо це не абсолютно необхідно.
2. Механізми паузи рятують життя. Можливість швидко зупинити контракт моста запобігла подальшим втратам. Кожен міст має мати добре протестовану функцію аварійної зупинки з багатопідписним контролем.
3. Прозорість будує довіру. Незважаючи на злом, KelpDAO отримав похвалу за швидке та відкрите спілкування. Користувачі більш терпимі, коли команди беруть відповідальність і надають чіткі оновлення.
4. Аудити — недостатньо. Кілька аудитів не виявили цю уразливість — поширена ситуація. Постійний моніторинг, програми винагород за виявлення помилок і формальна перевірка є необхідними доповненнями.
Що далі?
KelpDAO пообіцав опублікувати повний аналіз і план компенсацій. У подібних випадках проєкти іноді вирішують поповнити втрачені кошти з казни, залучити “рятувальний фонд” від венчурних партнерів або випустити токен відновлення. Також можливо запропонувати винагороду за повернення коштів у обмін на нагороду “whitehat”.
До того часу користувачам рекомендується залишатися пильними. Якщо ви коли-небудь взаємодіяли з мостом KelpDAO, відкличте дозволи контрактів за допомогою інструментів, таких як Etherscan’s token approval checker. Не довіряйте будь-яким несанкціонованим “службам відновлення” або посиланням, що обіцяють повернути ваші кошти — це майже завжди шахрайство.
Останні думки
#KelpDAOBridgeHacked
Злом моста KelpDAO — болюча сторінка для протоколу, але й урок для всієї екосистеми DeFi. З ростом міжланцюгової активності зростає й майстерність зловмисників. Єдиний шлях — це суворі практики безпеки, співпраця спільноти та скромне визнання, що навіть найкращі команди можуть помилятися. Ми продовжимо стежити за ситуацією і оновлювати інформацію по мірі появи нових деталей. Будьте обережні і завжди двічі перевіряйте контракти, які ви схвалюєте.
Застереження: Ця стаття є виключно для інформаційних цілей і не є фінансовою або безпековою порадою. Завжди проводьте власне дослідження перед використанням будь-якого протоколу DeFi.#KelpDAOBridgeHacked