KelpDAO украдено: тревога для безопасности DeFi и уроки, которые мы извлекаем

Shaw.ai，金色财经

18 апреля криптовалютная индустрия столкнулась с самым серьезным с 2026 года инцидентом в области децентрализованных финансов (DeFi) — хакерской атакой на мост rsETH KelpDAO, в результате которой за несколько часов было украдено около 116500 rsETH, что по текущему курсу составляет до 2,9 миллиарда долларов, или 18% от общего предложения rsETH. Эта атака не только поставила KelpDAO в кризис, но и вызвала паническую ликвидность во всей отрасли DeFi: даже ведущие платформы кредитования, такие как Aave, были вынуждены срочно вывести более 9 миллиардов долларов депозитов, что можно назвать «финансовым цунами» по уровню угрозы безопасности.

Многие могут не знать терминов «мост между цепочками», «rsETH», «ликвидностный кризис» — не волнуйтесь, мы разъясним всё простым языком, шаг за шагом, как разворачивалась эта хакерская атака, а также расскажем о последних новостях и наиболее интересующих вас вопросах.

一、Разберитесь с 3 ключевыми понятиями, чтобы легко понять событие

Перед описанием хакерской атаки важно прояснить 3 основных термина, иначе легко запутаться:

• rsETH: проще говоря, «производный токен ETH». Известно, что ETH (Ethereum) можно «залочить» для получения процентов, но при этом средства блокируются и не могут быть использованы сразу. rsETH — это токен, который «оборачивает» залоченный ETH, то есть владение rsETH — это как владение долей в залоченных ETH, позволяющее зарабатывать проценты, а также торговать или использовать их в залогах — что-то вроде «купона на ETH, залоченный в виде токена».

• Мост между цепочками: разные блокчейны (например, Ethereum, BSC) — как разные «банки», а мост между цепочками — это «транспортный канал», соединяющий эти «банки», позволяющий перемещать токены типа rsETH между цепочками. В этот раз атаковали мост rsETH, построенный на платформе LayerZero.

• Модуль LayerZero DVN: можно представить как «контрольный пункт» моста, отвечающий за проверку подлинности транзакций — например, подтверждение, что вы действительно перевели токен на цепочке A, чтобы разрешить выдачу соответствующего токена на цепочке B. Обычно для безопасности используют несколько «контрольных пунктов» (многоуровочные валидаторы), но KelpDAO использовал только одного «контрольного пункта» (один валидатор), что создало уязвимость для злоумышленников.

二、Полный сценарий атаки: 3 шага — кража 2,9 миллиарда долларов, настоящий «учебник» по хакерским операциям

Атака оказалась очень скрытной и эффективной: за менее чем час было выполнено основное действие, четко спланированное и целенаправленное, — всего три шага:

Первый шаг: уязвимость «создания денег из воздуха»

Хакеры точно обнаружили критическую уязвимость моста rsETH — зависимость от одного «контрольного пункта» (одного DVN валидатора). Обычно для выпуска rsETH требуется реальный залог ETH, подтверждающий его подлинность, но злоумышленники с помощью технических средств подделали сообщение о транзакции, обманув единственного «контрольного пункта».

Более того, хакеры предварительно взломали RPC-узлы, на которых работает DVN, заменили их программное обеспечение и даже провели DDoS-атаку, чтобы вывести из строя нормальные узлы, заставив «контрольный пункт» доверять поддельным данным. В результате они смогли «создать из ничего» 116500 фальшивых rsETH без реального залога, что по сути — как подделка «купона на залоченный ETH», обманув всех участников.

Второй шаг: использование этих «фальшивых» rsETH для займа

Обладая этими поддельными rsETH, хакеры не стали сразу их продавать (чтобы не привлечь внимания), а решили более скрытно их «обналичить» — заложить в крупные кредитные платформы, такие как Aave и Compound, в основном в Aave v3. Там они использовали фальшивые rsETH как залог и взяли крупные кредиты в реальных активах — например, WETH (обернутый ETH, равный по стоимости). Таким образом, они «использовали» поддельные токены, чтобы получить реальные деньги.

Третий шаг: вызов паники и ликвидностный кризис

Действия хакеров были очень быстрыми: большое количество фальшивых rsETH было заложено, а взятые кредиты в WETH — выведены. В результате ликвидность рынка WETH на платформе Aave v3 полностью исчерпалась, показатель использования достиг 100% — то есть все WETH было занято, вывести свои средства стало невозможно.

Объявление о случившемся вызвало паническую реакцию: участники опасались, что из-за «фальшивых залогов» у Aave возникнут огромные непогашенные долги, и их депозиты окажутся под угрозой. В итоге началась масштабная «ликвидностная паника»: не только рынок WETH, но и рынки стабильных монет USDC, USDT — их показатели тоже резко выросли, инвесторы начали массово выводить средства из Aave. За 48 часов было выведено свыше 9 миллиардов долларов, а общий объем средств в DeFi сократился на 13,2 миллиарда.

Стоит отметить, что примерно через 46 минут после начала атаки KelpDAO обнаружил аномалию и срочно приостановил работу контрактов, связанных с rsETH, чтобы остановить дальнейшие потери — иначе ущерб мог бы быть еще больше. В индустрии считают, что за этим стоит группа Lazarus из КНДР, которая известна своей профессиональной подготовкой и высокой степенью организации.

三、Последние новости: экстренные меры и решение проблем с непогашенными долгами

После атаки KelpDAO, LayerZero, Aave и другие участники быстро приняли меры. По состоянию на 23 апреля — последние новости таковы:

1. KelpDAO: срочно приостановил работу контрактов на основном и нескольких L2 цепочках, связанных с rsETH, начал совместное расследование с LayerZero, аудиторами и экспертами по безопасности. В настоящее время ведется сбор информации о потерях и разрабатываются решения по урегулированию непогашенных долгов.

2. LayerZero: заявил, что уязвимость возникла не из-за протокола, а из-за неправильной конфигурации — использования одного DVN валидатора вместо рекомендуемой многоуровочной системы. Уже отключены пострадавшие RPC-узлы, заменены на новые, и все проекты, использующие один валидатор, призваны обновиться до многоуровочной системы. Также ведется сотрудничество с правоохранительными органами по отслеживанию средств злоумышленников.

3. Aave: срочно заморозил рынок залога rsETH, чтобы предотвратить дальнейшие потери. 21 апреля обновил статус: резерв WETH на рынке Ethereum Core V3 разблокирован, пользователи могут снова вносить WETH, но LTV (максимальный заемный коэффициент) пока равен 0 — то есть залог WETH временно не дает возможности брать кредиты. В других цепочках, таких как Prime и Arbitrum, WETH остается замороженным, работа по восстановлению продолжается.

4. Влияние на индустрию: инцидент вызвал массовую переоценку безопасности мостов и рисков связанных с ре-залогами (LRT). Многие кредитные протоколы ужесточили требования к залогам, убрали токены с низким использованием, чтобы избежать повторных инцидентов. Также появились рекомендации по усилению защиты узлов, внедрению автоматических «прерывателей» (функций при аномальных транзакциях), а некоторые ведущие проекты начали обновлять системы безопасности, добавляя многоуровочные проверки и защищая RPC-узлы от DDoS и вмешательства.

5. Отслеживание средств злоумышленников: по состоянию на 23 апреля — примерно 30% украденных rsETH (116500) обменяны на WETH и USDC, часть средств через децентрализованные биржи разбросана по разным адресам, около 20% — переведены в приватные кошельки, что усложняет отслеживание. Однако некоторые адреса связаны с преступными группами, часть средств заблокирована на биржах, ведется совместная работа с правоохранительными органами.

6. Вопросы компенсации пользователям: в сообщении KelpDAO от 22 апреля говорится, что приоритет — защита интересов обычных пользователей. Сейчас идет сбор данных о потерях и списках rsETH держателей. Планируется компенсировать часть убытков через «государственный фонд сообщества» и сторонние страховки, точные размеры и сроки пока не определены — после завершения аудита будет опубликован подробный план. Aave заявил, что убытки по непогашенным долгам не лягут на обычных вкладчиков, они будут покрыты за счет резервных средств платформы и ответственности сторон.

四、Самые важные вопросы — разъясняем раз и навсегда

После инцидента у инвесторов и пользователей возникло много вопросов. Ниже — самые популярные из них, ответы простым языком:

1. Почему хакеры смогли успешно провести атаку? В чем причина?

Основная причина — неправильная настройка безопасности KelpDAO — доверие к мосту было полностью возложено на одного «контрольного пункта» (один DVN валидатор). LayerZero предупреждал, что такая конфигурация очень рискованна, но KelpDAO не учли этого. Хакеры воспользовались уязвимостью, взломали узлы, подделали сообщения и создали «фальшивые» rsETH без реального залога — по сути, это «один точечный доверительный узел», что и привело к уязвимости, а не ошибка в коде.

2. Можно ли вернуть украденные 2,9 миллиарда долларов?

Это очень сложно, но не исключено. Сейчас LayerZero и правоохранительные органы работают над отслеживанием средств. Хотя злоумышленники использовали инструменты приватности и усложнили след, цепочка транзакций остается видимой. Тем не менее, учитывая профессионализм злоумышленников (подозревают группу Lazarus), часть средств, скорее всего, уже переведена или заморожена, и точную сумму вернуть пока сложно.

3. Влияет ли это на обычных пользователей?

Зависит от ситуации: ① Если вы просто держите средства на платформах вроде Aave, не заложив rsETH, — ваши деньги в безопасности, платформа уже приняла меры по заморозке и восстановлению; ② Если вы держите rsETH или использовали его как залог — возможны потери, всё зависит от решений KelpDAO по урегулированию непогашенных долгов.

4. Чем эта атака отличается от предыдущих атак на мосты?

Главное отличие — масштаб последствий. Обычно атаки на мосты затрагивают только один проект, а здесь из-за использования rsETH в качестве залога на нескольких крупных платформах возникла цепная реакция ликвидностных кризисов по всему сектору. Также, в отличие от простого взлома приватных ключей или ошибок в коде, в этой ситуации сочетание неправильной конфигурации и инфраструктурных взломов создало более масштабный кризис.

5. Какие изменения ждут DeFi после этого?

Самое очевидное — усиление мер безопасности: мосты, скорее всего, перейдут на многоуровочные системы проверки (много валидаторов), а платформы кредитования — ужесточат требования к залогам и снизят риск использования низкокачественных токенов (LRT). Также, возможно, появятся автоматические системы «прерывания» операций при подозрительных транзакциях, чтобы минимизировать потери. В целом, индустрия станет более осторожной и защищенной.

五、Итог: тревожный звонок всему сектору

Эта кража 2,9 миллиарда долларов — результат «слепой удачи» и «недостаточной безопасности»: KelpDAO проигнорировал рекомендации LayerZero, выбрав рискованную конфигурацию с одним валидатором, что и позволило злоумышленникам осуществить атаку. В цепочке событий также проявились уязвимости в архитектуре DeFi: один сбой — и вся система под угрозой.

Для обычных пользователей это важный урок: инвестиции в криптовалюты связаны с рисками, при выборе проектов важно обращать внимание не только на доходность, но и на безопасность и управление рисками, чтобы не потерять свои средства из-за ошибок разработчиков или неправильных настроек.

Работа по устранению последствий продолжается: как распределить непогашенные долги, как повысить безопасность мостов, как реализовать компенсации — все это остается в центре внимания индустрии. Также, данный инцидент ускорит регуляторные меры: некоторые страны уже заявили о намерениях скорейшего внедрения правил по безопасности мостов и контролю за выпуском ре-залоговых токенов, чтобы предотвратить системные риски. Мы будем следить за развитием ситуации и держать вас в курсе последних новостей.