Как взлом KelpDAO на $292 млн изменит DeFi

Это не просто очередной инцидент на криптовалютном фронте. Это хрестоматийный пример системного сбоя, который заставит всю индустрию пересмотреть подходы к безопасности. Атака на KelpDAO — не взлом шифрования и не грубый перебор. Это изящный, почти ювелирный удар по самой уязвимой точке системы, о которой все знали, но предпочли проигнорировать. Теперь инвесторы, включая автора этих строк, смотрят на свои вложенные токены с уверенностью, что они обесценились до нуля.

Главное коротко

• Масштаб: Хакерская группа, связанная с КНДР (Lazarus), похитила $292 млн в rsETH из протокола KelpDAO за 46 минут 18 апреля 2026 года.
• Причина: Критическая уязвимость в конфигурации моста, использовавшего единственный верификатор (DVN) от LayerZero, несмотря на предупреждения.
• Механизм: Атака через скомпрометированные RPC-ноды и DDoS на резервные, что позволило подписать фальшивую транзакцию и сгенерировать токены из воздуха.

Анатомия катастрофы: по шагам

Чтобы понять гениальность и простоту этой атаки, нужно отбросить сложные термины. KelpDAO — это протокол рестейкинга, который выпускает производный токен rsETH за внесенный в стейкинг ETH. Этот токен можно было перемещать между более чем 20 блокчейнами через мост, построенный на технологии LayerZero.

Мост работал по принципу обменного пункта: вы блокируете (lock) актив в одной цепи, а в другой вам выпускается (mint) его представление. Ключевой элемент — верификатор (DVN), который должен подтвердить, что исходные средства действительно заблокированы. KelpDAO в своей конфигурации использовал всего ОДИН такой верификатор. Один страж у дверей с миллиардами.

Атака Lazarus Group была выверена до миллисекунд:

1. Разведка. Злоумышленники выявили единственную точку отказа — конфигурацию 1-of-1.

2. Компрометация. Были взломаны два RPC-нода, питавшие данные верификатора. Их ПО заменили на вредоносное, которое начало подавать фальшивые данные в нужный момент.

3. Изоляция. Резервные, «здоровые» ноды были выведены из строя масштабной DDoS-атакой. У верификатора не осталось выбора, кроме как доверять скомпрометированным источникам.

4. Финальный удар. В 17:35 UTC был отправлен поддельный запрос: «Release 116,500 rsETH». Слепой страж подписал его. $292 млн были созданы из ничего.

Почему это произошло? Человеческий фактор

Самый болезненный вопрос. LayerZero неоднократно рекомендовал всем интеграторам использовать несколько верификаторов (например, схему 3 из 5) для распределения риска. Это базовая практика безопасности. Команда KelpDAO проигнорировала эти рекомендации и оставила конфигурацию 1-of-1. После инцидента LayerZero официально заявили, что больше не будут подписывать сообщения для проектов с подобными настройками. Дверь, в которую прошел Lazarus, теперь закрыта навсегда. Но цена урока оказалась непомерно высокой.

Эффект домино: заражение Aave и рынка

Хитрость атаки проявилась на следующем этапе. Вместо того чтобы пытаться продать огромный объем ничем не обеспеченного rsETH и мгновенно обрушить его цену, хакеры поступили умнее. Они заложили украденные токены в пулы ликвидности Aave V3 и V4 в качестве залога и взяли против них реальный, ликвидный WETH. Это классическая атака на доверие: протокол-кредитор принял фиктивный актив за ценность и выдал под него реальные деньги. Это создало прецедент «загрязненных» активов в крупнейших DeFi-протоколах и вызвало волновой эффект по всему рынку.

Исторический контекст и будущее DeFi

Взлом KelpDAO мгновенно вошел в учебники истории как крупнейший инцидент в DeFi за 2026 год. Но его значение глубже. Это не «баг смарт-контракта», который можно быстро исправить. Это провал архитектурного решения, провал управления рисками и человеческий фактор. Это зеркало, в котором отражается вся индустрия на пути от анархичных экспериментов к институциональной надежности.

После таких событий всегда наступает период «дерискинга». Инвесторы и пользователи начинают массово пересматривать свои позиции в аналогичных протоколах, проверяя их конфигурации и аудиты. Это болезненно, но необходимо для естественного отбора и оздоровления экосистемы. В среднесрочной перспективе это подтолкнет развитие страховых протоколов (DeFi Insurance) и усилит роль ручных аудитов конфигураций поверх автоматических проверок кода.

Окончательный вывод жесток, но очевиден: в мире, где действуют такие высококлассные противники, как государственные хакерские группы, одно предупреждение — это уже приговор. Игнорировать его — непростительная роскошь. KelpDAO стала живым доказательством этого тезиса. Остается надеяться, что ее жертва не будет напрасной и заставит других создателей в DeFi выбирать путь избыточности и паранойи, а не удобства и экономии.