#rsETHAttackUpdate : Технический анализ крупнейшей межцепочной атаки в DeFi

18 апреля 2026 года протокол rsETH KelpDAO пострадал от взлома на сумму $292 миллион через мост LayerZero, что стало одним из самых значительных сбоев в области безопасности DeFi. В этом обзоре рассматриваются векторы атаки, каскадные эффекты и выявленные структурные уязвимости.

Обзор атаки

Злоумышленник создал 116 500 неподдерживаемых токенов rsETH (18% от общего объема), взломав межцепочную инфраструктуру KelpDAO. Атака была направлена на критическую архитектурную слабость: мост KelpDAO работал с конфигурацией a1-of-1 DVN (Децентрализованная сеть валидаторов), делая LayerZero Labs единственным проверяющим органом для межцепочных сообщений.

Техническое выполнение

Атака следовала сложной многофазной стратегии:

1. Проникновение в инфраструктуру: злоумышленники получили доступ к RPC-узлам, используемым DVN LayerZero, заменив легитимные бинарные файлы op-geth на вредоносные, которые отдавали поддельные данные исключительно IP-адресам DVN.

2. Манипуляция трафиком: через DDoS-атаки на чистые узлы злоумышленники принудительно переключили все проверки на скомпрометированную инфраструктуру, обеспечивая маршрутизацию всего проверочного трафика через заражённые конечные точки.

3. Подделка сообщений: создано поддельное межцепочное сообщение, утверждающее, что оно исходит от развертывания KelpDAO Unichain, которое было подтверждено с помощью манипулированного состояния в блокчейне, проходящее через мультиподписной консенсус 2 из 3.

4. Вывод токенов: мост выпустил 116 500 rsETH на адреса, контролируемые злоумышленником, в одной транзакции, создав неподдерживаемые токены без реального обеспечения.

Анализ атрибуции указывает на группу Lazarus из Северной Кореи (TraderTraitor), известную своими продвинутыми криптоэксплойтами, нацеленными на финансовую инфраструктуру.

Финансовые каскадные эффекты

Злоумышленник немедленно использовал неподдерживаемые rsETH в качестве залога на рынках Aave V3 и V4:

- Взял взаймы 52 834 WETH на основной сети Ethereum
- Взял взаймы 29 782 WETH и 821 wstETH на Arbitrum
- Общий вывод: примерно 83 427 WETH и wstETH. Это создало значительный плохой долг в кредитных рынках Aave. Протокол отреагировал в течение нескольких часов, заморозив рынки rsETH и убрав возможность заимствования, но ущерб распространился по всему DeFi:

- Более $7 миллиарда долларов выведено из ведущих протоколов
- Aave потерял 6,2 миллиарда долларов (23% от общего TVL)
- Аналогичные оттоки произошли у Morpho, Sky и Jupiter Lend
- Панические выводы затронули даже неповрежденные протоколы на Solana. Меры экстренного реагирования

Несколько протоколов и сетей внедрили меры по устранению ущерба:

- KelpDAO приостановил контракты rsETH на основной сети и L2
- Arbitrum заморозил 30 000 ETH ($71 миллион), связанные с адресами взлома
- Tether заморозил $344 миллион USDT на двух кошельках Tron
- Сообщество Aave инициировало обсуждения о постоянном исключении rsETH. Обнаружены структурные уязвимости

Взлом выявил фундаментальные слабости в архитектуре межцепочного взаимодействия DeFi:

Централизованная проверка: несмотря на маркетинг децентрализации, мосты часто полагаются на концентрированную проверку. Конфигурация a1-of-1 DVN создала катастрофическую точку отказа.

Проблемы границ доверия: взлом произошёл на пересечении проверки сообщений LayerZero и принятия мостов KelpDAO, что демонстрирует, как модульная безопасность без строгих стандартов создает системный риск.

Усиление с помощью композиции: злоумышленники использовали неподдерживаемые токены в нескольких протоколах, показывая, как взаимосвязанность DeFi увеличивает риск отдельных сбоев.

Реальность управления: DeFi функционирует там, где теоретическая децентрализация маскирует практическую концентрацию контроля, усложняя ответственность и экстренные меры.

Влияние на индустрию

Этот инцидент имеет серьёзные последствия для развития DeFi:

Стандарты безопасности: межцепочные мосты требуют распределённых механизмов проверки и устранения единой точки отказа. Необходимо установить минимальные стандарты безопасности для архитектуры мостов.

Оценка рисков: протоколы кредитования должны осуществлять проверку залога в реальном времени и более строго оценивать обеспечение активов, связанных с мостами, перед принятием депозитов.

Меры экстренного реагирования: важна быстрая возможность заморозки рынков, но реактивные меры не заменяют профилактическую архитектуру безопасности.

Регуляторное внимание: масштабные взломы ускоряют регуляторное давление и требования к соблюдению для протоколов DeFi.

Бухгалтерские сложности: аудиторам трудно оценивать эффективность контроля, когда проверка зависит от потенциально скомпрометированной оффчейн-инфраструктуры.

Ключевые уроки

Для разработчиков и участников:

1. Архитектура безопасности мостов требует многоподписной распределённой проверки, а не односторонней верификации.

2. Обеспечение залога должно быть проверяемым в реальном времени, особенно для межцепочных активов.

3. Композиция протоколов создает системный риск, требующий комплексной оценки безопасности.

4. Меры экстренного реагирования должны сочетаться с профилактическими мерами безопасности.

5. Необходима тщательная проверка безопасности инфраструктуры перед внесением средств.

Заключение

Взлом rsETH показывает, что в DeFi дизайн мостов неразрывно связан с безопасностью активов. Распределение по цепочкам не автоматически распределяет риск. Этот инцидент выявляет противоречие между быстрой масштабируемостью и надежной архитектурой безопасности, определяющей развитие DeFi.

Атака раскрывает фундаментальную истину: в теории децентрализованное управление часто маскирует концентрацию контроля на практике. Для достижения устойчивой финансовой инфраструктуры индустрии необходимо устранить эти архитектурные уязвимости через более строгие стандарты, распределённые механизмы проверки и протоколы, ориентированные на безопасность, а не только на скорость развертывания.

Каскадные последствия для Aave и других протоколов показывают, как быстро сбои отдельных мостов превращаются в системные кризисы. По мере развития DeFi безопасность межцепочных решений должна стать неотъемлемой частью проектирования.

Предварительная атрибуция в пользу государственных акторов добавляет геополитический аспект к вызовам безопасности DeFi. Демонстрируемая сложность предполагает, что будущие атаки могут стать еще более сложными и масштабными, что делает проактивные инвестиции в безопасность жизненно важными для выживания протоколов.

Этот инцидент, вероятно, ускорит разработку более устойчивых межцепочных решений и потребует всесторонней переоценки рисков, связанных с мостами, в экосистеме DeFi. Вопрос уже не в том, можно ли обеспечить безопасность мостов, а в том, сможет ли индустрия внедрить адекватные стандарты безопасности до следующего взлома.