Компания LayerZero возложила ответственность за эксплойт Kelp DAO на северокорейскую группировку Lazarus, назвав технической коренной причиной уязвимость в настройке верификатора протокола, которая сделала атаку возможной.
Взлом привел к выводу средств на сумму около 292 миллионов долларов из пула rsETH Kelp DAO 18 апреля, что стало крупнейшим взломом в сфере DeFi в 2026 году на данный момент, и привело к падению общей заблокированной стоимости (TVL) в секторе DeFi на 7% за 24 часа до 85 миллиардов долларов, по данным DefiLlama.
Это заявление об атрибуции является вероятностным, а не окончательным выводом: LayerZero утверждает, что Lazarus, скорее всего, является виновником, а не подтвержденным. Вопрос о том, что это различие означает для протокола, его пользователей и модели безопасности кроссчейн-операций, раскрывается в этой статье.
- Источник атрибуции: LayerZero провела расследование инцидента и назвала группировку Lazarus из Северной Кореи – в частности, подгруппу TraderTraitor – вероятным виновником.
- Техническая коренная причина: Kelp DAO использовала конфигурацию DVN 1 из 1 (единый децентрализованный узел верификатора), игнорируя неоднократные рекомендации LayerZero о резервировании с использованием нескольких верификаторов.
- Сумма эксплойта: Из пула rsETH Kelp DAO было выведено около 292 миллионов долларов; код протокола LayerZero или приватные ключи скомпрометированы не были.
- Влияние на рынок: TVL в DeFi упал на 7% за 24 часа до 86 миллиардов долларов после инцидента.
- Реакция: LayerZero вывела из эксплуатации затронутые RPC-узлы и восстановила полную работу DVN; сотрудничество с правоохранительными органами по отслеживанию средств продолжается.
- На что обратить внимание: Объявит ли Kelp DAO механизм компенсации и предпримут ли дополнительные кроссчейн-протоколы, использующие конфигурации с одним DVN, меры по устранению проблемы до следующей атаки.
Узнайте: Лучшие предпродажи токенов
Выводы LayerZero о Lazarus и Kelp DAO: Что на самом деле означает единая точка отказа в кроссчейн-архитектуре
Механизм эксплойта был многоступенчатым и точным. Злоумышленники отравили RPC-инфраструктуру, питающую децентрализованную сеть верификаторов LayerZero, а затем провели DDoS-атаку, направленную на принудительный переход на скомпрометированные резервные узлы.
После перенаправления сети верификаторов система подтвердила фиктивные кроссчейн-транзакции, и 292 миллиона долларов в rsETH покинули пул Kelp DAO до того, как мошенничество было обнаружено.
Критическим фактором стало то, что Kelp DAO использовала конфигурацию DVN 1 из 1, что означало, что один узел верификатора стоял между протоколом и катастрофическим сбоем. LayerZero неоднократно помечала эту архитектуру как неадекватную, согласно расследованию, и рекомендовала настройку с несколькими DVN, соответствующую отраслевым лучшим практикам резервирования. Kelp DAO не отреагировала на эти рекомендации.
Настройка с несколькими DVN потребовала бы от злоумышленников одновременного компрометирования нескольких независимых узлов верификации, что является значительно более сложной технической задачей. Конфигурация 1 из 1 полностью устранила этот барьер. Как выразился технический директор Ripple Дэвид Шварц в X: «Атака была намного более изощренной, чем я ожидал, и была нацелена на инфраструктуру LayerZero, используя лень KelpDAO».
Реакция LayerZero была точечной: команда вывела из эксплуатации все затронутые RPC-узлы после инцидента и полностью восстановила работу DVN без более широкого заражения других протоколов, использующих ту же инфраструктуру. Код протокола LayerZero скомпрометирован не был. Приватные ключи не были раскрыты. Сбой был архитектурным, а не фундаментальным – различие, которое имеет огромное значение для доверия к протоколу, но никак не помогает вернуть 292 миллиона долларов.
Почему атрибуция Северной Корее меняет модель угроз для всего DeFi
Атрибуция Lazarus группировке Kelp DAO от LayerZero, заявленная как вероятная, а не подтвержденная, соответствует устоявшейся и ускоряющейся модели.
Подгруппа TraderTraitor, известное оперативное подразделение Lazarus, была предварительно идентифицирована в ходе судебно-медицинского анализа. LayerZero активно сотрудничает с мировыми правоохранительными органами по отслеживанию средств, что указывает на то, что атрибуция имеет достаточный вес доказательств для привлечения следственных ресурсов государственного уровня.
Lazarus была связана с одними из крупнейших краж криптовалюты в истории, включая взлом Ronin Network на 625 миллионов долларов в 2022 году и серию эксплойтов DeFi-протоколов, которые, по оценкам Министерства финансов США и ООН, в совокупности направили миллиарды на оружейные программы КНДР.
Криптовалютные операции Северной Кореи выходят далеко за рамки прямых эксплойтов – режим также внедрил своих оперативников под вымышленными именами в Web3-компании, что расширяет поверхность атаки за пределы одной только инфраструктуры.
Кроссчейн-протоколы структурно привлекательны для этого класса акторов. Они находятся на высокоценных перекрестках между несколькими сетями, часто содержат объединенную ликвидность, превосходящую баланс любого отдельного приложения, а их безопасность зависит от сетей верификаторов, которые при неправильной настройке могут стать едиными точками отказа. Отравление RPC в качестве тактики против сетей верификаторов представляет собой новую эскалацию – ту, которая, по мнению исследователей безопасности, теперь задокументирована и может быть воспроизведена.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ahmed Barakat
