Взлом моста KelpDAO: основные факты
LayerZero Labs опубликовала отчет об инциденте с атакой на мост KelpDAO. Согласно документу, злоумышленники украли примерно 116 500 rsETH стоимостью около $292 млн, скомпрометировав инфраструктуру верификационного слоя, используемого в кросс-чейн конфигурации KelpDAO.
Компания подтвердила, что инцидент был ограничен установкой rsETH KelpDAO. Приложение использовало конфигурацию 1-of-1 DVN с LayerZero Labs в качестве единственного верификатора, что противоречило постоянным рекомендациям LayerZero использовать диверсифицированные многоуровневые DVN-установки с избыточностью.
LayerZero заявила, что не произошло заражения других кросс-чейн активов или приложений. Модульная архитектура безопасности протокола ограничила масштаб инцидента, несмотря на сбой конфигурации на уровне приложения.
Техника атаки и ответственные лица
По данным LayerZero, атака от 18 апреля 2026 года была направлена на RPC-инфраструктуру, на которую полагается DVN LayerZero Labs, а не на сам протокол LayerZero, управление ключами или программное обеспечение DVN. Злоумышленники получили доступ к списку RPC-узлов, скомпрометировали два узла на отдельных кластерах, заменили бинарные файлы на узлах op-geth и использовали вредоносные нагрузки для передачи поддельных данных транзакций верификатору, одновременно возвращая корректные данные другим конечным точкам и системам мониторинга.
Для завершения атаки злоумышленники запустили DDoS-атаки на некомпрометированные RPC-конечные точки, вынудив переключение на отравленные узлы. Это позволило DVN LayerZero Labs подтвердить транзакции, которые никогда не происходили.
Chainalysis связала злоумышленников с северокорейской группой Lazarus Group, в частности с подразделением TraderTraitor. Атакующие не эксплуатировали уязвимость смарт-контракта, а подделали кросс-чейн сообщение, отравив внутренние RPC-узлы и перегрузив внешние в установке верификации с единственной точкой отказа.
Меры реагирования и изменения политики
Ответ LayerZero включал вывод из эксплуатации и замену всех затронутых RPC-узлов, восстановление DVN LayerZero Labs и контакт с правоохранительными органами. Компания работала с партнерами отрасли и Seal911 для отслеживания украденных средств.
Компания изменила политику обработки рискованных конфигураций. DVN LayerZero Labs больше не будет подписывать или подтверждать сообщения от приложений, использующих конфигурацию 1/1. Это прямое изменение политики направлено на предотвращение повторения режима отказа KelpDAO.
LayerZero обращается к проектам, по-прежнему использующим конфигурации 1/1, перейти на многоуровневые модели DVN с избыточностью. Компания признала, что гибкость конфигурации без принудительных защитных механизмов была чрезмерно допустимой на практике.
Выводы и уроки
Nexus Mutual сообщила, что поддельное сообщение истощило $292 млн из моста KelpDAO менее чем за 46 минут, сделав это одной из крупнейших потерь DeFi в 2026 году.
Инцидент демонстрирует критический урок для кросс-чейн инфраструктуры: смарт-контракты могут остаться нетронутыми, но протокол все еще может дать сбой на практике, если внеблокчейн слой доверия недостаточно надежен. LayerZero стремится доказать, что правильный вывод из этого взлома состоит не в том, что модульная безопасность дала сбой, а в том, что разрешение использовать установку с одним подписывающим была критической ошибкой.
