LayerZero раскрывает подробности эксплойта KelpDAO на $292 млн и усиливает безопасность кроссчейн-моста
LayerZero Labs опубликовала отчёт об инциденте, связанном с атакой на Кроссчейн-мост KelpDAO, сообщив, что злоумышленники похитили rsETH на сумму около $292 миллионов после отравления RPC-инфраструктуры, используемой сетью верификации, что вынудило изменить политику в отношении конфигураций с единственной подписью.
- LayerZero сообщила, что KelpDAO был взломан примерно на $290 миллионов, или около 116 500 rsETH, в результате атаки, ограниченной конфигурацией rsETH с единственным DVN.
- Компания заявила, что предварительные данные указывают на TraderTraitor, связанный с Северной Кореей, и описала эксплойт как компрометацию инфраструктуры, а не уязвимость протокола.
- LayerZero сообщила, что перестанет подписывать сообщения для приложений, использующих конфигурации DVN 1/1, и подталкивает затронутых интеграторов к мульти-DVN избыточности.
LayerZero Labs опубликовала подробное описание эксплойта KelpDAO, подтвердив, что злоумышленники похитили около 116 500 rsETH стоимостью примерно $292 миллиона, скомпрометировав нижестоящую инфраструктуру, связанную с уровнем верификации, используемым в Кросс-чейн конфигурации KelpDAO.
Компания сообщила, что инцидент ограничился настройкой rsETH KelpDAO, поскольку приложение использовало конфигурацию DVN 1-из-1 с LayerZero Labs в качестве единственного верификатора — дизайн, который, по словам LayerZero, прямо противоречил их постоянной рекомендации использовать диверсифицированные мульти-DVN установки с избыточностью.
В своём заявлении LayerZero сообщила, что «нулевого заражения каких-либо других Кросс-чейн активов или приложений» не произошло, утверждая, что модульная архитектура Безопасности протокола ограничила радиус поражения даже при сбое одной конфигурации на уровне приложения.
Как была осуществлена атака
Согласно отчёту LayerZero, атака 18 апреля 2026 года была направлена на RPC-инфраструктуру, используемую DVN LayerZero Labs, а не на эксплуатацию протокола LayerZero, управление ключами или само программное обеспечение DVN.
Компания сообщила, что злоумышленники получили доступ к списку RPC, используемых DVN, скомпрометировали два узла, работающих на отдельных кластерах, заменили бинарные файлы на узлах op-geth, а затем использовали вредоносные полезные нагрузки для передачи сфабрикованных данных о транзакциях верификатору, одновременно возвращая достоверные данные другим конечным точкам, включая внутренние службы мониторинга.
Для завершения эксплойта злоумышленники также провели DDoS-атаки на нескомпрометированные RPC-конечные точки, что спровоцировало аварийное переключение на отравленные узлы и позволило DVN LayerZero Labs подтверждать транзакции, которые на самом деле никогда не происходили.
Внешняя криминалистическая работа в целом соответствует этому описанию. Chainalysis сообщила, что злоумышленники, связанные с северокорейской группой Lazarus Group, а именно TraderTraitor, не использовали уязвимость смарт-контракта, а вместо этого сфабриковали Кросс-чейн сообщение, отравив внутренние RPC-узлы и перегрузив внешние в конфигурации верификации с единой точкой отказа.
Изменения в системе безопасности
LayerZero сообщила, что немедленные меры реагирования включали вывод из эксплуатации и замену всех затронутых RPC-узлов, восстановление работы DVN LayerZero Labs и обращение в правоохранительные органы, а также работу с отраслевыми партнёрами и Seal911 для отслеживания похищенных средств.
Что ещё важнее, компания меняет подход к работе с рискованными конфигурациями. В своём заявлении LayerZero сообщила, что её DVN «не будет подписывать или подтверждать сообщения от приложений, использующих конфигурацию 1/1», — это прямое изменение политики, направленное на предотвращение повторения сценария сбоя KelpDAO.
Компания также обращается к проектам, всё ещё использующим конфигурации 1/1, с целью их перевода на мульти-DVN модели с избыточностью, фактически признавая, что гибкость конфигурации без принудительных ограничений безопасности на практике оказалась слишком мягкой.
Картина атрибуции также прояснилась. Chainalysis связала эксплойт с северокорейской Lazarus Group и конкретно с TraderTraitor, тогда как Nexus Mutual сообщила, что сфабрикованное сообщение опустошило мост KelpDAO на $292 миллиона менее чем за 46 минут, что делает его одним из крупнейших убытков DeFi в 2026 году.
Результат — знакомый, но жестокий урок для Кросс-чейн инфраструктуры: смарт-контракты могут остаться нетронутыми, а протокол на практике всё равно может дать сбой, если офчейн-уровень доверия окажется достаточно слабым. LayerZero теперь пытается доказать, что правильный вывод из кражи через мост на $292 миллиона — не то, что модульная Безопасность потерпела неудачу, а то, что предоставление кому-либо возможности использовать установку с единственной подписью и было настоящей ошибкой.
Вам также может быть интересно
Эксперт в области права раскрывает «более масштабный план» за последним шагом Министерства юстиции Трампа
Трамп заявил, что переговоры с Ираном находятся на завершающей стадии, вызывая надежды и риски
Евро останавливается выше 1,1600 на фоне ястребиных ставок ФРС и неопределённости со сделкой по Ирану, сдерживающих рост
