KelpDAO, один з провідних протоколів ліквідного рестейкінгу, оприлюднив детальну заяву щодо масштабної атаки на міст rsETH, внаслідок якої було викрадено понад $290 млн. Представники KelpDAO прямо поставили під сумнів версію LayerZero та наголосили, що причиною інциденту стала саме компрометація інфраструктури LayerZero, а не помилки конфігурації з боку KelpDAO.
Про це розповідає ProIT
Суперечка навколо моделі верифікації та конфігурації
У центрі конфлікту опинилася модель верифікації 1-of-1 DVN, яку LayerZero після інциденту охарактеризував як вразливу, хоча раніше, за словами KelpDAO, саме цей підхід був рекомендований командою LayerZero. KelpDAO підкреслив, що неодноразово погоджував використання цієї стандартної конфігурації з розробниками LayerZero, а ті підтверджували її безпечність.
«Це Telegram-листування з членом команди LayerZero Labs, який не лише знав про конфігурацію 1-1 DVN, але й прямо її схвалив».
Після атаки LayerZero змінив свою позицію, заявивши, що використовувана конфігурація DVN і стала причиною злому. Проте аналітика показала, що таку модель застосовували близько 47% OApp-контрактів LayerZero, понад 120 протоколів працювали з цією конфігурацією, а близько 90% повідомлень перевірялися одним або двома DVN, що спростовує твердження про унікальну помилку саме KelpDAO.
Деталі атаки та її наслідки для ринку
За інформацією KelpDAO та незалежних експертів, атака, яка відбулася 18 квітня 2026 року, була спрямована не на смартконтракти, а безпосередньо на інфраструктуру LayerZero. Зловмисники скомпрометували RPC-вузли, які використовувалися DVN, здійснили RPC-спуфінг і підписали фальшиві транзакції на понад $100 млн. Загальні втрати оцінюються у $292 млн, хоча частину коштів вдалося заблокувати. Зокрема, мережа Arbitrum заморозила 30 766 ETH (приблизно $71 млн), ці активи стали предметом судового розгляду, а близько 34 500 ETH ($80 млн) було виведено через THORChain.
У LayerZero підтвердили факт компрометації частини інфраструктури, але незалежні дослідники наголошують, що це був не просто злам RPC, а саме прорив у внутрішню інфраструктуру LayerZero.
«Атака LayerZero не була отруєнням RPC […] це був злом інфраструктури всередині периметра».
KelpDAO зазначив, що саме його команда першою виявила атаку та оперативно зупинила роботу контрактів.
За попередніми даними LayerZero, до атаки може бути причетне північнокорейське угруповання Lazarus Group.
Відмова від LayerZero та перехід KelpDAO на Chainlink
Після інциденту команда KelpDAO оголосила про повну відмову від інфраструктури LayerZero та перехід на Chainlink CCIP. У своїй заяві KelpDAO підкреслив намір використовувати лише перевірені рішення та мінімізувати ризики, пов’язані з залежністю від зовнішніх служб.
«Ми переходимо до використання перевіреної інфраструктури та мінімізуємо довіру до зовнішніх залежностей».
За словами команди, Chainlink вже обробив понад $30 трлн обсягу транзакцій та продемонстрував стабільність навіть у періоди глобальних збоїв.
Інцидент також загострив обговорення питань безпеки в DeFi-індустрії: експерти підняли проблеми централізації DVN, використання дефолтних налаштувань без належної перевірки, а також відсутності системного моніторингу атак. KelpDAO публічно звернувся до LayerZero з низкою питань щодо деталей компрометації інфраструктури та причин несвоєчасного виявлення атаки.