Злам Kelp DAO на $293 млн: міст, який ніхто не перевіряв
18 квітня 2026 року північнокорейське угруповання Lazarus викрало $293 млн у Kelp DAO, змусивши міст LayerZero випустити 116 500 незабезпечених токенів rsETH — це була атака на позаланцюгову інфраструктуру, а не вразл... Каскадний ефект завдав Aave $230 млн безнадійного боргу від фальшивої застави, змусив Раду безпе...
What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited oThe Kelp DAO exploit wasn't a smart contract bug—it was an attack on off-chain bridge infrastructure that no one had audited.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited o. Article summary: On April 18, 2026, North Korea's Lazarus Group executed the largest DeFi exploit of the year, draining ~$293 million (116,500 rsETH) from Kelp DAO's cross-chain bridge by attacking off-chain LayerZero infrastructure — no. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Kelp DAO exploit,DeFi security 2026,cross-chain bridge risks,crypto hack analysis,LayerZero vulnerability,institutional crypto adoption. # Kelp DAO Exploit: How a $293 Million DeFi" source context "Kelp DAO Exploit: $293M DeFi Hack Exposes Critical Security Risks ..." Reference image 2: visual subject "# The $290
openai.com
О 17:35 UTC 18 квітня 2026 року зловмисник викликав одну-єдину функцію на міжланцюговому мосту Kelp DAO, побудованому на LayerZero, і вивів 116 500 токенів rsETH — приблизно $293 млн, або 18% усієї пропозиції токена в обігу. На це знадобилося 46 хвилин. Але нападник не експлуатував помилку в смарт-контракті. Він атакував інфраструктуру, яку ніхто навіть не думав перевіряти .
Злам приписують північнокорейському угрупованню Lazarus Group. Він став найбільшим в історії DeFi за 2026 рік, перевершивши навіть квітневу атаку на Drift Protocol на $285 млн, де Lazarus шість місяців використовували соціальну інженерію . Разом ці два інциденти збільшили загальну суму викрадених Північною Кореєю криптоактивів до понад $578 млн лише за 18 днів, що становило 76% від усього обсягу хакерських атак на той момент .
Але атака на Kelp DAO була іншою. Це була не вразливість коду. Це була структурна помилка в тому, як DeFi довіряє міжланцюговим повідомленням, — і її наслідки оголили сліпу зону, яку зараз намагається закрити вся індустрія.
Як це спрацювало: верифікатор «1-з-1» і підроблене повідомлення
Kelp DAO — це протокол ліквідного рестейкінгу, який випускає токени rsETH у понад 20 блокчейн-мережах через міст Omnichain Fungible Token від LayerZero . Коли користувач переводить rsETH назад у мережу Ethereum, система обміну повідомленнями LayerZero доставляє міжланцюгову інструкцію, яка наказує контракту мосту в основній мережі вивільнити токени з ескроу.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "Злам Kelp DAO на $293 млн: міст, який ніхто не перевіряв"?
18 квітня 2026 року північнокорейське угруповання Lazarus викрало $293 млн у Kelp DAO, змусивши міст LayerZero випустити 116 500 незабезпечених токенів rsETH — це була атака на позаланцюгову інфраструктуру, а не вразл...
What are the key points to validate first?
18 квітня 2026 року північнокорейське угруповання Lazarus викрало $293 млн у Kelp DAO, змусивши міст LayerZero випустити 116 500 незабезпечених токенів rsETH — це була атака на позаланцюгову інфраструктуру, а не вразл... Каскадний ефект завдав Aave $230 млн безнадійного боргу від фальшивої застави, змусив Раду безпеки Arbitrum заморозити $71 млн та спричинив паніку на $13 млрд по всьому DeFi, обваливши ринки [13][44][52].
What should I do next in practice?
Структурний урок: аудити безпеки DeFi були зосереджені на смарт контрактах, ігноруючи конфігурації верифікаторів мостів, операційну безпеку нод і позаланцюгові рівні повідомлень — саме ті вразливості, якими скористали...
Безпека цього вивільнення залежить від децентралізованих мереж верифікаторів (Decentralized Verifier Networks, DVN) — позаланцюгових вузлів, які підтверджують, що повідомлення є дійсним. Однак Kelp DAO налаштувала свій міст із порогом 1-з-1, тобто для авторизації будь-якого міжланцюгового повідомлення було достатньо лише одного-єдиного верифікатора .
Зловмисник скомпрометував внутрішні RPC-вузли Kelp та здійснив DDoS-атаку на зовнішні вузли, залишивши працювати лише цей єдиний верифікатор, і надіслав йому підроблене повідомлення про те, що 116 500 rsETH було спалено в початковій мережі. Верифікатор підтвердив повідомлення. Контракт Ethereum підкорився. Кошти були вивільнені на контрольовану нападником адресу .
Chainalysis підтвердили, що для стандартних інструментів безпеки кожна ончейн-транзакція виглядала легітимною, оскільки злам відбувся повністю поза ланцюгом — на рівні інфраструктури та вузлів . Традиційні аудити смарт-контрактів були абсолютно нерелевантними.
Екстрений мультипідпис Kelp призупинив контракти через 46 хвилин після першого виведення, запобігши додатковим атакам ще приблизно на $200 млн .
Як зникли $220 млн: шеститижнева схема відмивання
Зловмисник не став чекати. Протягом кількох годин 89 567 із 116 500 незабезпечених токенів rsETH було внесено як заставу в Aave V3, і нападник позичив близько 82 650 WETH та 821 wstETH — чисті, ліквідні активи — перш ніж хтось зміг заморозити позиції . Аналогічні забезпечені позики були здійснені на Compound та Euler, що дозволило вивести приблизно 74 000 чистих ETH .
А потім почалося справжнє відмивання грошей.
Протягом наступних шести тижнів зловмисник відмив майже всі незаморожені викрадені кошти — приблизно $220 млн — залишивши лише близько $1,7 млн, які можна було відстежити в оригінальних гаманцях, станом на 1 червня 2026 року . Шлях відмивання відбувався за свідомою двоетапною схемою:
Перший етап: Tornado Cash був використаний для розриву початкових ончейн-зв’язків та заплутування графу транзакцій .
Другий етап: Кошти були спрямовані через Wasabi Wallet для змішування у стилі CoinJoin у мережі Bitcoin, а потім переведені назад до Ethereum через міжланцюгові протоколи — насамперед THORChain, який обробив близько $80 млн у вигляді свопів ETH на Bitcoin лише за одне 24-годинне вікно, що підняло добовий обсяг торгів THORChain до $394 млн, що приблизно в 11 разів перевищувало середньодобовий показник .
Пізніше TRM Labs підтвердили, що THORChain виступав постійним мостом вибору під час найбільших пограбувань Північної Кореї, і жоден оператор не був готовий заморозити або відхилити перекази ані під час зламу Bybit у 2025 році, ані під час експлойту KelpDAO .
Компанія NS3.AI також відзначила нову деталь: зловмисники використовували сам LayerZero для переміщення щонайменше $500 000 викрадених коштів між мережами на етапі відмивання — це перший зафіксований випадок, коли один і той самий додаток був використаний як для крадіжки, так і для частини відмивання грошей .
Екстрене втручання Arbitrum: $71 млн перехоплено на льоту
Втім, не всі кошти випарувалися. 20 квітня 2026 року о 23:26 за східним часом Рада безпеки Arbitrum виконала екстрену дію, заморозивши 30 766 ETH — приблизно $71 млн, або майже чверть усієї викраденої суми — які зберігалися на контрольованій нападником адресі в мережі Arbitrum One .
Рада діяла з урахуванням інформації від правоохоронних органів і перевела кошти на проміжний гаманець, контрольований управлінням. Дев'ять із дванадцяти членів Ради проголосували за замороження . Кошти можуть бути розблоковані лише через офіційне голосування управління Arbitrum .
8 травня 2026 року Рада безпеки Arbitrum схвалила спільну пропозицію щодо розморожування цих коштів, прагнучи прискорити відновлення застави rsETH та повернути ліквідність постраждалим користувачам. Процес відновлення триває за участі правоохоронних органів .
«Холодний душ» для Aave на $230 млн і перебудова системи ризиків
Aave зазнав найтяжчого вторинного удару. Зловмисник вніс 89 567 фальшивих rsETH у Aave V3 і позичив приблизно $230 млн у чистих активах — позики, які перетворилися на безнадійний борг, щойно rsETH були визнані незабезпеченими .
«Протокольний вартовий» Aave заморозив резерви rsETH та wrsETH у всіх розгортаннях V3 приблизно о 19:00 UTC 18 квітня, встановивши коефіцієнт LTV (співвідношення кредиту до застави) на нуль у 11 постраждалих ринках, включаючи Ethereum, Arbitrum, Avalanche та Optimism . Запозичення WETH — ключовий елемент фінансової інфраструктури DeFi — було фактично заморожено в шести мережах.
Станом на середину травня 2026 року понад 95% незабезпечених токенів було повернуто, а решту дефіциту, як очікується, покриють скарбниця Aave DAO та коаліція DeFi United . 18 травня 2026 року Aave відновив нормальні ліміти запозичень WETH у шести мережах V3 .
Але справжнім спадком стала реакція управління. На конференції Consensus Miami 2026 головна юридична та політична директорка Aave Labs Лінда Дженг оголосила про фундаментальний перегляд стандартів лістингу активів та оцінки застави . Нова структура виходить за межі традиційних фінансових ризиків і включає:
Вразливості кібербезпеки та стан операційної безпеки
Залежності інфраструктури мостів та ризики одного верифікатора
Залежності від оракулів та вплив сторонніх контрактів
Умови зберігання активів та ризики взаємодії між різними протоколами
Aave вже скоригував 295 параметрів ризику та додав автоматизовані засоби захисту, здатні знижувати LTV активу до нуля при досягненні заздалегідь визначених порогів ризику . Протокол розпочав повний перегляд кожного активу, який торгується на V3, і переписує свої стандарти лістингу з нуля .
Ширша картина: мости стали головною мішенню для атак у DeFi
Злам Kelp DAO не стався у вакуумі. Це був другий випадок збитків на дев'ятизначну суму через вразливість мосту за 18 днів, після зламу Drift Protocol на $285 млн 1 квітня із застосуванням соціальної інженерії — також приписуваного Lazarus Group . Разом ці два інциденти підняли загальні втрати DeFi на початку 2026 року до понад $840 млн .
Системні наслідки значно перевищили прямі збитки. Протягом 48 годин після атаки на Kelp DAO з DeFi випарувалося $13,21 млрд загальної заблокованої вартості (TVL), причому Aave втратив 43% своєї TVL серед 26 відстежуваних протоколів . Паніка з виведенням коштів на $5,4 млрд прокотилася всією екосистемою .
Атака оголила те, що Chainalysis назвали критичною структурною сліпою зоною: безпека DeFi була переважно зосереджена на аудитах смарт-контрактів, тоді як інфраструктура мостів, безпека роботи вузлів та конфігурації з єдиним верифікатором залишалися значною мірою неперевіреними векторами ризику .
Виправлення вже в процесі. Протоколи переходять на конфігурації мостів із кількома верифікаторами. Новий посібник з лістингу Aave — який, як очікується, буде опублікований як офіційний довідник для емітентів активів — вимагатиме від проєктів розкривати архітектуру мостів, децентралізацію верифікаторів та практики безпеки вузлів, перш ніж деривативи на кшталт rsETH зможуть бути прийняті як застава .
Lazarus використали розрив між тим, що DeFi аудитував, і тим, від чого DeFi насправді залежав. Відповідь індустрії свідчить, що цей розрив нарешті закривається — але лише після уроку вартістю $293 млн.
blockhead.co
Kelp DAO Loses $292M in Largest DeFi Exploit of 2026, LayerZero ...
Comments
0 comments