Что такое KelpDAO и rsETH
KelpDAO — это платформа, которая позволяет людям зарабатывать на своих криптоактивах. Пользователи вносят ETH (основная криптовалюта сети Ethereum) и получают взамен специальный токен rsETH — своего рода расписку, которая подтверждает, что деньги внесены и работают. Таких токенов-расписок в крипте много, и они активно используются как залог в других протоколах.
18 апреля 2026 года из системы KelpDAO было похищено 116 500 rsETH — на сумму около $290 млн.
TX: 0x1ae232da212c45f35c1525f851e4c41d529bf18af862d9ce9fd40bf709db4222
Как работает межсетевая передача сообщений и где была уязвимость
Для передачи данных между разными блокчейнами существуют специальные мосты — системы, которые отправляют сообщения из одной сети в другую. KelpDAO использовала протокол LayerZero — одну из самых популярных таких систем.
LayerZero устроен так: прежде чем сообщение будет принято, его должны независимо подтвердить несколько проверяющих узлов (они называются DVN — верификаторы). Смысл в том, что даже если один верификатор окажется взломан или ошибётся, остальные его поправят. Это как требование нескольких подписей на банковском переводе — надёжнее, чем одна.
Однако KelpDAO для своего маршрута настроила схему 1 из 1 — то есть достаточно подтверждения лишь одного верификатора. Единственная точка, которую нужно было скомпрометировать.
По версии LayerZero, злоумышленники — предположительно северокорейская группировка Lazarus (подгруппа TraderTraitor) — получили список серверов, через которые работал этот верификатор. Два из них они взломали, а остальные атаковали одновременно, чтобы система переключилась на заражённые. После этого верификатор подтвердил поддельное сообщение как настоящее.
Получив ложное подтверждение, система посчитала, что сообщение пришло из настоящего источника — и выполнила его. На адрес злоумышленника ушло 116 500 rsETH.
Что произошло после
Команда KelpDAO сразу остановила работу контрактов rsETH в основной сети и нескольких смежных сетях. Платформа Aave — один из крупнейших DeFi-протоколов, где rsETH использовался как залог — заморозила свои рынки rsETH и wrsETH, чтобы остановить распространение последствий.
LayerZero отдельно заявил, что уязвимость была именно в конфигурации KelpDAO, а не в самом протоколе. Другие приложения, использующие LayerZero с несколькими верификаторами, не пострадали.
Детали расследования: движение средств
После получения rsETH на адрес 0x8B1b6c9A6DB1304000412dd21Ae6A70a82d60D3b средства прошли через цепочку промежуточных адресов и были конвертированы в ETH.
На момент расследования средства сосредоточены на адресе 0x5d3919F12bCc35c26Eee5F8226A9bee90c257Ccc:
- около 75 500 ETH в сети Ethereum
- около 30 765 ETH в сети Arbitrum
Заключение
Эта атака — наглядный пример того, как одна неправильная настройка может привести к потере сотен миллионов долларов. Технология LayerZero работала корректно. Проблема была в решении использовать одного верификатора вместо нескольких — это убрало весь запас прочности системы.
Межсетевые мосты остаются одним из наиболее уязвимых мест в криптоиндустрии: именно здесь сосредоточены крупнейшие кражи последних лет.
Команда КоинКит продолжает мониторинг адресов, связанных с инцидентом.
