#KelpDAOBridgeHacked

Злом моста KelpDAO - 18 квітня 2026: що сталося та поточний стан

18 квітня 2026 року протокол ліквідного повторного залучення KelpDAO зазнав одного з найбільших DeFi-зломів року, коли його міжланцюговий міст був скомпрометований. Зловмисник зміг вивести приблизно 116 500 токенів rsETH, оцінених приблизно у $292 мільйонів у той час. Це наймасштабніший криптозлом 2026 року на даний момент, перевищуючи злом протоколу Drift, що стався раніше у квітні.

Як стався злом

Атака використала критичну вразливість у інфраструктурі мосту, що працює на LayerZero. Зловмисник надіслав підроблене міжланцюгове повідомлення до OFT-адаптера KelpDAO у мережі Ethereum, неправдиво стверджуючи, що воно походить від Unichain. Основною причиною стала серйозна неправильна конфігурація безпеки моста. KelpDAO впровадив конфігурацію 1-із-1 DVN (Децентралізована мережа перевіряльників), яка базувалася на одному перевіряльнику LayerZero Labs без будь-якої резервної або вторинної перевірки. Такий мінімальний підхід до безпеки дозволив підробленому повідомленню пройти валідацію без перешкод, що спричинило випуск незабезпечених токенів rsETH у гаманці зловмисника.

Важливо зазначити, що це не була помилка самого протоколу LayerZero. LayerZero V2 розроблений як модульний, що дозволяє проектам обирати власний стек перевіряльників. KelpDAO обрав найпростіший можливий варіант конфігурації безпеки, що виявилося катастрофічним.

Дії зловмисників у DeFi

Після отримання незабезпечених rsETH зловмисник одразу ж використав їх як заставу у кількох протоколах DeFi для максимізації прибутку. На ринках Aave V3 і V4 у мережах Ethereum та Arbitrum зловмисник позичив приблизно 52 834 WETH у Ethereum і 29 782 WETH разом із 821 wstETH у Arbitrum. Додаткові позики були здійснені у протоколах Compound та Euler, загальна сума виведених коштів перевищила $200 мільйонів. Вкрадені кошти були пізніше відмивані через Tornado Cash.

Негайна реакція та контроль збитків

KelpDAO виявив злом приблизно за одну годину, завдяки моніторингу в блокчейні від дослідників безпеки, зокрема ZachXBT. Протокол одразу ж призупинив мости у мережі Ethereum та інших підтримуваних ланцюгах, успішно заблокувавши два подальших спроби атаки. KelpDAO оприлюднив публічну заяву, в якій висловив готовність до переговорів з зловмисником у рамках так званих «білих хакерських» угод.

Aave відповів, заморозивши ринки rsETH у V3 і V4 у мережах Ethereum та Arbitrum. Інші протоколи, такі як SparkLend, Fluid і Upshift, також вжили запобіжних заходів. Інцидент спричинив борг у приблизно $177 мільйонів у Aave, переважно у Arbitrum, хоча ринки Ethereum залишаються забезпеченими заставою, але під ризиком поширення наслідків. Lido тимчасово призупинив депозити earnETH, а Ethena і USDT0 попередньо зупинили свої мости, незважаючи на відсутність прямого ризику.

Виникли вторинні ризики, оскільки використання ETH у системі Aave сягнуло 100%, що потенційно може затримати ліквідації та створити дисбаланс у стимулювання позик.

Поточний стан та наслідки

На 19-20 квітня 2026 року власники мостових rsETH стикаються з можливими зниженнями вартості на 15-20% у разі відсутності відновлювальних заходів. Спільнота Aave активно обговорює пропозиції щодо врегулювання боргів, ведуться дебати щодо окремого розгляду позицій у Arbitrum і Ethereum mainnet.

Інцидент є яскравим нагадуванням для проектів DeFi про необхідність аудиту конфігурацій OApp та впровадження мульти-DVN із 3-4 необхідними перевіряльниками замість залежності від однієї точки відмови. На щастя, жоден інший проект LayerZero OFT не постраждав від цієї конкретної вразливості.

Дослідники безпеки очікують публікації повних аналізів причин у найближчі дні. Користувачам рекомендується слідкувати за офіційними каналами KelpDAO, Aave та аналітиків безпеки, таких як ZachXBT, для отримання актуальної інформації.