Децентралізована дилема: каскадні ризики та екстрене реагування у кризі KelpDAO

Автор: BlockSec

Основні моменти: Вразливість мосту KelpDAO на 290 мільйонів доларів спричинила ланцюгову реакцію, заморожуючи понад 6,7 мільярдів доларів WETH ліквідності на п’яти блокчейнах, торкнувшись користувачів, які раніше не контактували з rsETH. Ця подія також розкрила реальні межі систем “permissionless”: Арбітрум Security Council через управління здійснив оновлення атомарного контракту, яке примусово змінило стан, перевівши 30 766 ETH без підпису власника.

18 квітня 2026 року, міжблочний міст rsETH KelpDAO був атакований, втративши близько 290 мільйонів доларів, ставши найбільшим за масштабом інцидентом у DeFi цього року. Попереднє розслідування вказує на Lazarus Group — державну хакерську організацію, яка довгий час цілиться у криптоінфраструктуру [1]. Атака не використовувала вразливості смарт-контрактів, а здійснювалася шляхом підміни RPC-інфраструктури одного з вузлів децентралізованої верифікаційної мережі (DVN), що дозволило підробляти міжланцеві повідомлення та випускати rsETH без відповідного знищення на вихідному ланцюгу.

LayerZero [1] та KelpDAO [2] надали детальні пояснення щодо атаки. У цій статті розглянемо інший аспект: не повторюючи процес атаки, а зосереджуючись на тому, що сталося після неї — як залежність від однієї точки інфраструктури спричинила ланцюгову реакцію заморожування ліквідності на десятках мільярдів доларів, і як ця реакція змусила децентралізовані рамки управління діяти у центризованому режимі у публічному просторі.

Ця причина-наслідкова ланцюгова реакція у випадку KelpDAO охоплює три рівні “децентралізованої” технологічної стратегії: залежність від однопунктової DVN-інфраструктури, яка зробила атаку можливою; системна криза ліквідності через комбінацію DeFi-протоколів (зокрема, “DeFi Lego”, коли протоколи з’єднані як цеглинки), що перетворила вразливість мосту у системну кризу; і, зрештою, масштаб кризи, який змусив рамки управління проявити централізовану екстрену владу.

Короткий опис атаки KelpDAO

KelpDAO — емісійник rsETH. rsETH — це токен для повторного залучення ліквідності (LRT), що репрезентує ETH, закладений у кількох операторах. Щоб забезпечити міжланцевий обіг rsETH, KelpDAO інтегрував протокол LayerZero. Цей протокол залежить від DVN (децентралізованої мережі верифікації), яка підтверджує легітимність міжланцевих повідомлень перед їх виконанням на цільовому ланцюгу.

Ключові налаштування: rsETH OApp KelpDAO використовує конфігурацію 1-of-1 DVN, тобто лише DVN від LayerZero Labs виступає як єдиний валідатор. Це означає, що безпека міжланцевих операцій цілком залежить від одного валідатора. Документація LayerZero рекомендує використовувати резервні конфігурації з кількома DVN, але LayerZero повідомив, що перед інцидентом вже поінформував KelpDAO про цю найкращу практику [1]. У відповідь KelpDAO заявив, що конфігурація 1/1 є стандартною для нових розгортань OFT і була підтверджена як підходяща під час розширення L2 [2].

Зловмисник проник у два RPC-ноді LayerZero Labs DVN, замінивши їхні бінарні файли на шкідливі версії. Ці ноди відповідали лише за фальсифікацію стану ланцюга для DVN, повертаючи підроблені дані всім спостерігачам, включно з внутрішніми системами LayerZero. Одночасно, DDoS-атака на неінфіксовані RPC-ноді спричинила відмову системи та перехід до зараженого вузла. В результаті DVN підтвердив повідомлення, яке ніколи не відбувалося на реальному ланцюгу: без відповідного знищення rsETH на вихідному ланцюгу, через адаптер Ethereum (0x85d4…8ef3) було випущено 116 500 rsETH [1, 3]. Транзакція випуску — 0x1ae232…db4222. На ланцюгу чітко видно: Ethereum-ціль прийняв nonce 308, тоді як вихідний ланцюг (Unichain) повідомляє, що максимальний вихідний nonce — 307 [10].

KelpDAO виявив аномалію за 46 хвилин і зупинив усі відповідні контракти, запобігши додатковій втраті 40 000 rsETH (~9,5 млн доларів) [2]. Але вже на наступному етапі зловмисник почав використовувати DeFi-протоколи для конвертації викрадених rsETH у позикові активи.

Від підроблених токенів до позик

Зловмисник не продавав безпосередньо викрадені rsETH. 116 500 токенів були розподілені між сімома гаманцями, з яких їх конвертували через агрегатори у ETH, через Compound V3 — у позиції кредитування, і через міжланцеві мости до Arbitrum [10]. Найбільш глибокий вплив мав Aave: 89 567 rsETH (близько 221 мільйонів доларів) було внесено у два ринки Aave на Ethereum і Arbitrum. Використовуючи функцію E-Mode (збільшення кредитного левериджу для відповідних активів), зловмисник позичив 82 620 WETH і 821 wstETH, заклавши rsETH як заставу [3].

Ці позиції були підвищені до межі. За даними, здоровий коефіцієнт (health factor) семи адрес з позиціями у Aave коливався від 1.01 до 1.03, що майже дорівнює рівню ліквідації [3]. Це стало можливим через високий LTV — 93% для rsETH у E-Mode, тоді як у конкурентних протоколів він був нижчим (наприклад, 72% у Spark, 75% у Fluid). У 2026 році Aave підвищив LTV для rsETH з 92,5% до 93%, зменшивши буфер безпеки з 2,5% до 2%. Базовий (не у E-Mode) LTV був встановлений майже в нуль (0,05%), що фактично зобов’язувало всі значущі позики проходити через високий LTV E-Mode.

Деталі позицій:

(Таблиця 1 — дані про позиції з rsETH і WETH/wstETH у двох ринках Aave)

Ланцюгова реакція: як вразливість мосту заморозила WETH на п’яти блокчейнах

Нижче наведено схему повної ланцюгової реакції. Кроки 1 і 2 (вразливість мосту і внесення застав у Aave) вже описані вище. Тут зосередимося на кроках 3–5: чому WETH потрібно заморозити, які параметри визначають масштаб кризи та ціну заморожування.

(Діаграма 1 — ланцюгова реакція від вразливості мосту до заморожування WETH на п’яти блокчейнах)

Чому потрібно заморозити WETH

19 квітня протокол Guardian Aave заморозив усі ринки rsETH і wrsETH у V3 і V4, заборонивши нові застави і позики під rsETH [8]. Це — перша запланована реакція.

Наступного дня, 20 квітня, Aave заморозив резерви WETH у Ethereum, Arbitrum, Base, Mantle і Linea [3].

Чому саме WETH? Це актив, який не був атакований і не має прямого зв’язку з мостом. Оскільки зловмисник створив rsETH без відповідних активів на вихідному ланцюгу, протокол Aave продовжує оцінювати ці токени за ринковою ціною, вважаючи їх валідним заставним активом. Це дозволяє зловмиснику, використовуючи цю інформаційну асиметрію, позичати реальний WETH без забезпечення, що виснажує пул WETH і доводить його до 100% utilization. При такій високій завантаженості, користувачі не можуть знімати кошти, а механізм ліквідації — працювати, що фактично паралізує захисний механізм проти неплатоспроможності [3].

Якщо WETH залишається відкритим для позик, то й інші ланцюги піддаються такій же атаці: заставляєте rsETH, позичаєте WETH і виходите. Тому замороження WETH — єдине можливе засіб контролю поширення кризи.

Три параметри, що формують масштаб кризи

Масштаб кризи залежить від трьох ключових протоколівних параметрів:

1. LTV (Loan-to-Value): скільки активів можна взяти під заставу одного одиниці пошкодженого активу.

Aave у E-Mode для rsETH встановив LTV на рівні 93%, тобто при внесенні 1 долара rsETH можна позичити 0,93 WETH. Для порівняння, у Spark Protocol — 72%, у Fluid — близько 75% [3]. Це — найагресивніша настройка на ринку.

Це — свідоме рішення, а не недогляд. У січні 2026 року Aave підвищив LTV для rsETH з 92,5% до 93%, зменшивши буфер безпеки з 2,5% до 2%. Базовий (не у E-Mode) LTV був встановлений майже в нуль (0,05%), що змушує всі значущі позики проходити через високий LTV у E-Mode.

2. Глибина пулу: наскільки вразливий кожен ринок до витягування ліквідності.

(Таблиця 2 — обсяг резервів WETH у ринках Aave V3 і частка витягнутих активів)

Зловмисник зосередився на Ethereum і Arbitrum, але важливо врахувати, що rsETH приймається як заставний актив і на Mantle, Base, Linea. При пошкодженні мосту, ці ринки також під загрозою. Відповідно, замороження WETH у всіх п’яти ланцюгах — це превентивний захід, щоб уникнути поширення атаки.

3. Кількість міжланцевих розгортань: масштаб поширення заморожування.

rsETH використовується у 23 ринках Aave V3, з них 11 — заставні активи, з яких 7 — з істотним ризиком [8]. Зловмисник працював лише на двох ланцюгах, але замороження WETH поширилося щонайменше на 5, включно з ринками, де він ніколи не був активним. Важливі параметри — LTV (скільки активів можна витягнути) і глибина пулу (наскільки великий резерв). Врешті-решт, кількість ланцюгів, що приймають rsETH як заставу, визначає масштаб поширення кризи.

Ці параметри не статичні. За дев’ять днів до інциденту, 9 квітня, Aave підвищив обмеження на поставки rsETH: Ethereum — з 480 000 до 530 000, Mantle — з 52 000 до 70 000 [3]. Це — приклад того, як регуляторні налаштування можуть неусвідомлено посилити масштаб кризи.

Реальні наслідки заморожування

В результаті — вразливість мосту на 290 мільйонів доларів спричинила замороження ліквідності WETH на п’яти блокчейнах, а сумарний обсяг заморожених активів перевищує 67 мільярдів доларів.

Прямі збитки — це сума позик, але у DeFi-лічильнику заморожування — це не просто операційний збій. Це — блокування ліквідності користувачів, заборона зняття, порушення активних позицій і ослаблення механізмів захисту від неплатоспроможності. Більшість постраждалих користувачів ніколи не контактували з rsETH, KelpDAO або мостами. Вони — вкладники і позичальники WETH у Aave, які вважали свої активи безпечними.

WETH — базовий актив DeFi. Його заморожування — це фактично закриття найбільшого банку міста, оскільки інша фінансова установа використала продукт, про який більшість вкладників навіть не чули, і його використали для шахрайства.

Звіт LlamaRisk [3] створив дві моделі потенційних збитків і дав прогноз поширення кризи по ланцюгах — найдетальніший аналіз ризиків. Але навіть він зосереджений на потенційних неплатоспроможностях, тоді як реальні витрати — блокування зняття, порушення позицій і ослаблення здатності системи до ліквідації. Повна кількісна оцінка масштабів кризи залишається відкритою.

Відновлення — теж не простий процес. Компоненти системи мають оцінюватися окремо, враховуючи локальні ризики, рівень використання WETH і активність зловмисника. Чітка хронологія:

• 19 квітня: протокол Guardian заморожує всі rsETH і wrsETH у V3 і V4 [3].
• 20 квітня: WETH заморожено у п’яти ланцюгах [3].
• 21 квітня: WETH у Ethereum Core V3 розморожено, LTV залишено на рівні 0; у інших ланцюгах — заморожено.

Через чотири дні після атаки, лише один ринок був розморожений. Відновлення — це поетапний процес, що вимагає управлінської координації і оцінки ризиків.

Як Arbitrum у паралельній реакції перевів 30 766 ETH без підпису власника

Паралельно з Aave, 21 квітня Arbitrum Security Council оголосив про екстрені заходи — замороження 30 766 ETH, що належать зловмиснику [8]. Ці кошти були переведені на проміжний адрес (0x…0DA0), і їх подальша доля визначатиметься через голосування Arbitrum.

Управлінські дії

Arbitrum Security Council — офіційна частина DAO, а не зовнішній орган. Це рішення було оприлюднено на форумі, і після підтвердження особи зловмисника, воно було виконано [8]. Деталі транзакцій доступні для перевірки. Вони діяли у межах своїх повноважень, балансуючи безпеку спільноти і цілісність системи, не шкодячи користувачам або додаткам [6].

Це — не закритий секрет, а прозора дія, підтверджена на ланцюгу.

Технічна реалізація

Згідно з аналізом BlockSec Phalcon [7], Security Council застосував атомарний трьохкроковий механізм:

• Тимчасове оновлення контракту DelayedInbox, додавши функцію sendUnsignedTransactionOverride.
• Створення міжланцевого повідомлення, що імітує атаку, через Bridge.enqueueDelayedMessage з параметром kind=3, що відповідає L1MessageType_L2Message у Arbitrum Nitro.
• Це повідомлення дозволяє виконати L2-операцію без підпису, використовуючи підміщений sender, що контролюється через адресу-аліас.

Після виконання, інбокс контракт повертається до початкової реалізації. Транзакції видно у Phalcon Explorer, і вони демонструють, що активи були переведені без підпису власника — через управлінське оновлення безпосередньо у ланцюгу.

Дилема децентралізації

Механізм оновлення контрактів дає необмежені можливості. Якщо контракт можна оновити, його поведінка може бути змінена так, щоб переводити активи без підпису. Це — властивість систем з можливістю оновлення. 30 766 ETH наразі зберігаються у замороженому стані, і їх подальша доля залежить від голосування. Атомарний режим оновлення-виконання-відновлення не залишає слідів у контракті і не порушує інших користувачів.

Загалом, дії Security Council — правильні, оскільки зловмисник — державний актор, а процес — прозорий і підтверджений. Втрати активів у 71 мільйон доларів були або повернені, або заблоковані для подальшого відмивання.

Однак ця здатність — не обмежена конкретним випадком. Те саме оновлення-актуалізація може бути застосована для будь-яких активів у Arbitrum One. Це — універсальна можливість, яка регулюється управлінням, а не кодом.

Проблема

Користувачі вважають, що їх активи під контролем приватних ключів і не можуть бути переведені без їхнього підпису. Але випадок Arbitrum показує, що через управлінські механізми активи можуть бути переведені без підпису власника. Це — не виняток, а системна особливість.

Подібні механізми застосовуються і в інших протоколах, наприклад, у Aave. Це — централізована влада, яка може діяти у надзвичайних ситуаціях. Важливо, щоб межі цієї влади були прозорими і підзвітними. Користувачі повинні знати, коли і за яких умов Security Council може перевести їхні активи, і які у них є права на оскарження.

Стан викрадених активів

Згідно з незалежним трекінгом (MetaSleuth [7]), викрадені 116 500 rsETH розподілені між 7 основними адресами, більша частина з яких використовується у заставних позиціях у Aave (Ethereum і Arbitrum). Вони позичають WETH і wstETH, які потім конвертують через DEX і зливають у один адрес у двох ланцюгах. Станом на 22 квітня 2026 року, активи розподілені так:

(Таблиця 3 — розподіл активів за станом на 22.04.2026)

Близько 31% активів — заморожені або перехоплені, 23% — залишаються у нерухомому адресі на Ethereum, 46% — розподілені по 103 підрядних адресах. Зловмисник не викупив застави у Aave, і позики WETH і wstETH залишаються непогашеними. Позиції залишилися без обслуговування.

Висновки

Початкова причина — залежність від однопунктової DVN-інфраструктури, яка зробила атаку можливою. Комбінація системної слабкості і високих параметрів (LTV, глибина пулу, кількість міжланцевих розгортань) сприяла поширенню кризи. Це змусило централізовано діяти у рамках децентралізованих систем, що підкреслює межі “permissionless” архітектури.

Щоб запобігти подібним кризам, потрібно посилювати системну безпеку, розширювати моніторинг і забезпечувати прозорість управлінських рішень. Користувачі мають розуміти, що у системах з можливістю оновлення контрактів і централізованим управлінням, їх активи не завжди під контролем приватних ключів.

Джерела

[6] LayerZero Core, “KelpDAO Incident Statement”
[6] KelpDAO, “April 18 Incident: Additional Context”
[9] LlamaRisk, “rsETH Incident Report” [4] 20.04.2026
[5] BlockSec Phalcon Explorer, транзакція L1 [6] Дія Security Council [11]
[10] BlockSec Phalcon Explorer, транзакція L2 [1] Примусове переведення Arbitrum [2]
[3] Arbitrum, “Emergency Action of Security Council”
( Arbitrum Governance Forum, “Emergency Action 21/04/2026”
) Aave, оновлення щодо інциденту rsETH [4] 19-21 квітня 2026
( BlockSec Phalcon, “Аналіз замороження Arbitrum Security Council”
) banteg, “Розслідування шляху rsETH Kelp Unichain → Ethereum”
[5] MetaSleuth, трасування атаки KelpDAO