KelpDAO, один из ведущих протоколов ликвидного рестейкинга, опубликовал детальное заявление о масштабной атаке на мост rsETH, в результате которой было украдено более $290 млн. Представители KelpDAO прямо поставили под сомнение версию LayerZero и подчеркнули, что причиной инцидента стала именно компрометация инфраструктуры LayerZero, а не ошибки конфигурации со стороны KelpDAO.
Об этом сообщает ProIT
Спор вокруг модели верификации и конфигурации
В центре конфликта оказалась модель верификации 1-of-1 DVN, которую LayerZero после инцидента охарактеризовал как уязвимую, хотя ранее, по словам KelpDAO, именно этот подход был рекомендован командой LayerZero. KelpDAO подчеркнул, что неоднократно согласовывал использование этой стандартной конфигурации с разработчиками LayerZero, а те подтверждали ее безопасность.
«Это Telegram-переписка с членом команды LayerZero Labs, который не только знал о конфигурации 1-1 DVN, но и прямо ее одобрил».
После атаки LayerZero изменил свою позицию, заявив, что используемая конфигурация DVN и стала причиной взлома. Однако аналитика показала, что такую модель применяли около 47% OApp-контрактов LayerZero, более 120 протоколов работали с этой конфигурацией, а около 90% сообщений проверялись одним или двумя DVN, что опровергает утверждение о уникальной ошибке именно KelpDAO.
Детали атаки и ее последствия для рынка
По информации KelpDAO и независимых экспертов, атака, которая произошла 18 апреля 2026 года, была направлена не на смартконтракты, а непосредственно на инфраструктуру LayerZero. Злоумышленники скомпрометировали RPC-узлы, которые использовались DVN, осуществили RPC-спуфинг и подписали фальшивые транзакции на более чем $100 млн. Общие потери оцениваются в $292 млн, хотя часть средств удалось заблокировать. В частности, сеть Arbitrum заморозила 30 766 ETH (примерно $71 млн), эти активы стали предметом судебного разбирательства, а около 34 500 ETH ($80 млн) было выведено через THORChain.
В LayerZero подтвердили факт компрометации части инфраструктуры, но независимые исследователи подчеркивают, что это был не просто взлом RPC, а именно прорыв во внутреннюю инфраструктуру LayerZero.
«Атака на LayerZero не была отравлением RPC […] это был взлом инфраструктуры внутри периметра».
KelpDAO отметил, что именно его команда первой обнаружила атаку и оперативно остановила работу контрактов.
По предварительным данным LayerZero, к атаке может быть причастна северокорейская группировка Lazarus Group.
Отказ от LayerZero и переход KelpDAO на Chainlink
После инцидента команда KelpDAO объявила о полном отказе от инфраструктуры LayerZero и переходе на Chainlink CCIP. В своем заявлении KelpDAO подчеркнул намерение использовать только проверенные решения и минимизировать риски, связанные с зависимостью от внешних служб.
«Мы переходим к использованию проверенной инфраструктуры и минимизируем доверие к внешним зависимостям».
По словам команды, Chainlink уже обработал более $30 трлн объема транзакций и продемонстрировал стабильность даже в периоды глобальных сбоев.
Инцидент также обострил обсуждение вопросов безопасности в DeFi-индустрии: эксперты подняли проблемы централизации DVN, использования дефолтных настроек без должной проверки, а также отсутствия системного мониторинга атак. KelpDAO публично обратился к LayerZero с рядом вопросов о деталях компрометации инфраструктуры и причинах несвоевременного обнаружения атаки.