Вход

Kelp DAO взломан на $293 млн: как ошибка конфигурации привела к крупнейшему хаку DeFi в 2026 году

В апреле 2026 года децентрализованная экосистема столкнулась с беспрецедентным инцидентом: платформа рестейкинга Kelp DAO была скомпрометирована, что привело к потере приблизительно $293 миллионов в токенах rsETH. Атака, ставшая крупнейшим взломом в сфере децентрализованных финансов в текущем году, затронула не менее девяти протоколов и подняла острые вопросы о безопасности конфигураций кросс-чейн инфраструктуры.

⚠️ Ключевой факт: Уязвимость находилась не в коде смарт-контракта, а в параметре конфигурации — пороговом значении верификаторов DVN (Decentralized Verifier Network), установленном на уровне 1-из-1, что означало нулевую отказоустойчивость.

🔍 Хронология атаки: от поддельного сообщения до вывода средств

Инцидент развернулся стремительно в субботу, 18 апреля 2026 года:

  1. 17:35 UTC: Злоумышленник отправил поддельное кросс-чейн сообщение через мост Kelp DAO, работающий на протоколе LayerZero
  2. Минтинг 116 500 rsETH: Система верификации, настроенная на подтверждение от единственного узла (1-of-1), приняла фальшивое сообщение как легитимное
  3. Распределение средств: Похищенные токены были мгновенно распределены по протоколам Aave V3, Compound V3 и Euler для заимствования реальных активов
  4. Конвертация и выход: В тот же день злоумышленник конвертировал около $236 миллионов в WETH и вывел средства через миксеры

Весь процесс занял менее часа, демонстрируя высокую степень подготовки и понимания архитектуры целевых протоколов.

«Самый слабый элемент в любой системе безопасности — это человек. Технологии могут быть безупречны, но достаточно одной неправильной настройки, чтобы всё рухнуло», — Брюс Шнайер, эксперт по кибербезопасности.

⚙️ Природа уязвимости: почему конфигурация опаснее кода

Особенность этого инцидента заключается в том, что смарт-контракты Kelp DAO не содержали ошибок в коде. Проблема была в параметре, установленном при развёртывании протокола.

Что такое DVN и почему это важно

DVN (Decentralized Verifier Network) — механизм верификации кросс-чейн сообщений в LayerZero V2. Его ключевая особенность:

  • Каждый протокол сам выбирает, сколько узлов-верификаторов должны подтвердить сообщение
  • Параметр настраивается при деплое и не проверяется традиционными инструментами аудита
  • Значение 1-of-1 означает: достаточно компрометации одного узла для подделки любого сообщения

Сравнение конфигураций безопасности

Конфигурация Требуемые подтверждения Отказоустойчивость Риск
1-of-1 (Kelp DAO) 1 узел 0% Критический
2-of-3 (рекомендация) 2 из 3 узлов 33% Умеренный
5-of-9 (высокая безопасность) 5 из 9 узлов 55% Низкий

Как отметил исследователь безопасности @0xQuit, участвовавший в расследовании: «Это комбинация двух проблем: конфигурация 1-из-1 и компрометация самого узла DVN».

🔍 Важно: LayerZero в официальном заявлении классифицировал инцидент как «уязвимость rsETH», а не «уязвимость LayerZero», подчёркивая, что безопасность зависит от выбора конфигурации каждым приложением.

💸 Механика эксплойта: как похищенные токены стали реальными активами

Атака использовала фундаментальное свойство ликвидных рестейкинг-токенов: их способность выступать залогом в протоколах кредитования.

Этап 1: Подделка кросс-чейн сообщения

Злоумышленник сгенерировал сообщение, которое система интерпретировала как: «Пользователь заблокировал эквивалентные активы в другой сети». Поскольку узел верификации был скомпрометирован, сообщение прошло проверку.

Этап 2: Минтинг неподкреплённых rsETH

Смарт-контракт на Ethereum создал 116 500 новых токенов rsETH. Эти токены не были обеспечены реальными активами, но в блокчейне они выглядели абсолютно легитимно.

Этап 3: Использование в протоколах кредитования

Похищенные rsETH были внесены в качестве залога в несколько протоколов:

  • Aave V3 (Ethereum и Arbitrum): заимствовано ~$177 миллионов реальных активов
  • Compound V3: дополнительные заимствования в стаблкоинах и ETH
  • Euler: использование rsETH для получения ликвидности

Этап 4: Выход и отмывание

Полученные реальные активы были конвертированы в WETH и распределены через миксеры и децентрализованные биржи для сокрытия следов.

«В мире криптовалют ваша безопасность — это ваша ответственность. Нет службы поддержки, которая вернёт средства после компрометации протокола», — Андреас Антонопулос, эксперт по биткоину.

🌐 Эффект домино: девять протоколов под ударом

Инцидент с Kelp DAO вызвал «кросс-протокольную контагию» — цепную реакцию, затронувшую минимум девять проектов:

  • Aave: крупнейший протокол кредитования, заморозил рынок rsETH для предотвращения дальнейших потерь
  • SparkLend: принял аналогичные меры предосторожности
  • Fluid: приостановил использование rsETH в качестве залога
  • Протоколы на Arbitrum: также затронуты из-за кросс-чейн природы атаки

По оценкам аналитиков, потенциальные потери одного только Aave V3 могут составить около $177 миллионов. Страховой модуль Umbrella, предназначенный для покрытия дефолтов, имеет резерв около $50 миллионов в WETH — коэффициент покрытия менее 30%.

💡 Практический вывод: Взаимосвязанность протоколов DeFi означает, что уязвимость в одном проекте может создать системные риски для всей экосистемы.

🔐 Почему инструменты аудита не обнаружили угрозу

Этот инцидент выявил фундаментальный пробел в современных практиках безопасности:

Ограничения статического анализа

  • Инструменты вроде Slither и Mythril ищут уязвимости в коде (.sol-файлах)
  • Параметры конфигурации, установленные при деплое, не попадают в их область видимости
  • Согласно исследованию IEEE, даже на уровне кода существующие инструменты обнаруживают лишь 8–20% эксплуатируемых уязвимостей

Проблема «невидимых» настроек

  • Пороговое значение DVN (1-of-1) не является кодом — это параметр, записанный при развёртывании
  • Нет стандартизированных чек-листов для проверки разумности таких конфигураций
  • Внешние пользователи не могут увидеть эти настройки — они скрыты в бэкенде протокола

OpSec: безопасность операций вне кода

  • Компрометация узла DVN относится к операционной безопасности (OpSec)
  • Ни один инструмент аудита не может предсказать утечку приватного ключа оператора узла
  • Это требует совершенно иного подхода: мониторинга, ротации ключей, аппаратной безопасности
«Безопасность — это не продукт, а процесс. Нельзя один раз настроить защиту и забыть о ней. Угрозы эволюционируют, и защита должна эволюционировать вместе с ними», — Брюс Шнайер.

📊 Контекст: конфигурационные уязвимости в истории кросс-чейн взломов

Инцидент с Kelp DAO — не первый случай, когда ошибка конфигурации приводит к масштабным потерям:

  • Nomad Bridge (2022): $190 млн потеряно из-за инициализации доверенного корня как 0x00 при обновлении
  • Ronin Bridge (2022): $624 млн из-за компрометации приватных ключей валидаторов
  • Harmony Horizon (2022): $100 млн через уязвимость в мультисиг-кошельке
  • Multichain (2023): $126 млн из-за проблем с контролем доступа

Если объединить инциденты, связанные с конфигурацией и компрометацией ключей, их совокупный ущерб (~$850 млн) сопоставим с потерями от уязвимостей в коде смарт-контрактов.

🛡️ Реакция сообщества и меры по сдерживанию ущерба

После обнаружения атаки экосистема отреагировала оперативно:

Действия протоколов

  • Aave, SparkLend, Fluid: немедленно заморозили рынки rsETH для предотвращения дальнейших заимствований
  • LayerZero: начал совместное расследование с организацией SEAL Org
  • Kelp DAO: объявил о работе над «активным возмещением» пострадавшим пользователям

Рекомендации для пользователей

  1. Не используйте скомпрометированные токены: избегайте взаимодействия с rsETH до официального объявления о восстановлении
  2. Мониторьте позиции: если вы предоставляли ликвидность в затронутых протоколах, проверьте статус своих депозитов
  3. Следите за официальными каналами: получайте информацию только из верифицированных источников проекта
  4. Диверсифицируйте риски: не концентрируйте все активы в одном протоколе или одном типе токена

🔐 Важно: Пользователям, чьи средства могли быть затронуты, рекомендуется сохранить доказательства (скриншоты, адреса транзакций) для возможного участия в компенсационных процедурах.

🔮 Уроки инцидента: как предотвратить подобные атаки в будущем

Эксперты выделяют несколько направлений для усиления безопасности кросс-чейн инфраструктуры:

Для разработчиков протоколов

  1. Минимальные безопасные конфигурации: внедрять разумные значения по умолчанию (например, 2-of-3 для DVN) и предупреждать о рисках при выборе менее безопасных опций
  2. Прозрачность настроек: публиковать конфигурационные параметры в публичном реестре для независимой верификации
  3. Аудит конфигураций: включать проверку параметров деплоя в процесс безопасности наравне с аудитом кода
  4. Механизмы экстренной паузы: предусматривать возможность быстрой остановки протокола при обнаружении аномалий

Для аудиторов и исследователей безопасности

  1. Расширение области аудита: разрабатывать методологии для проверки не только кода, но и конфигураций, зависимостей и операционных процедур
  2. Стандартизация чек-листов: создавать отраслевые стандарты для оценки параметров развёртывания кросс-чейн протоколов
  3. Инструменты анализа конфигураций: разрабатывать специализированные сканеры для обнаружения рискованных настроек

Для пользователей и инвесторов

  1. Исследование перед использованием: изучать не только репутацию проекта, но и его архитектурные решения и параметры безопасности
  2. Понимание рисков рестейкинга: осознавать, что ликвидные токены рестейкинга несут дополнительные риски по сравнению с нативным стейкингом
  3. Мониторинг новостей безопасности: подписываться на алерты от независимых исследовательских организаций
«Инновации в безопасности должны опережать инновации в атаках. Это гонка, в которой нельзя останавливаться», — Виталик Бутерин, сооснователь Ethereum.

✨ Заключение: безопасность как многослойная стратегия

Взлом Kelp DAO на $293 миллионов — не просто ещё один инцидент в длинном списке уязвимостей децентрализованных систем. Это напоминание о фундаментальном принципе: безопасность не заканчивается на аудите кода.

В мире, где протоколы становятся всё более сложными и взаимосвязанными, угрозы смещаются от очевидных багов в коде к тонким ошибкам конфигурации, операционным рискам и человеческому фактору. Защита требует не только технических решений, но и культурных изменений: прозрачности, ответственности и непрерывного обучения.

🎯 Главный принцип: В децентрализованном мире доверие должно быть верифицируемым. Каждая настройка, каждый параметр, каждый узел верификации — это потенциальная точка отказа. Бдительность и проверка — ваши главные союзники.

Пока индустрия извлекает уроки из этого инцидента, одна истина остаётся неизменной: технологии развиваются, атаки эволюционируют, и только те, кто инвестирует в многослойную, адаптивную безопасность, смогут защитить пользователей в эпоху взаимосвязанных протоколов.

«Риск приходит от того, что вы не знаете, что делаете. Знание — первый шаг к защите», — Уоррен Баффет, инвестор.
20.04.2026, 00:43
Новости