#加密市场行情震荡rsETH ОБНОВЛЕНИЕ ОТКАТА: КАК ОДНО ПОДЛОЖНОЕ СООБЩЕНИЕ ПОДРЯДИЛО $10 МИЛЛИАРДОВ В DEFI
АТАКА, ИЗМЕНИВШАЯ DEFI НАВСЕГДА
Ровно в 17:35 по всемирному времени 18 апреля 2026 года, одно поддельное межцепочечное сообщение вызвало крупнейшую в этом году уязвимость в DeFi. Мост rsETH на базе LayerZero проекта KelpDAO был опустошен на 116 500 rsETH, примерно $292 миллион долларов за считанные минуты. Ни один смарт-контракт не был взломан. Ни один код Solidity не был использован. Вся атака произошла в невидимом слое между блокчейнами, в инфраструктуре вне цепочки, на которую DeFi тихо полагалось, не полностью понимая её уязвимость. К моменту, когда пыль уляжется через 24 часа, общий заблокированный в DeFi объем снизился с 99,5 миллиарда долларов до 85,21 миллиарда долларов — разрушение стоимости на сумму $14 миллиард долларов за один эксплойт. Это обновление по атаке rsETH, которое каждый участник DeFi должен полностью понять.
ЧТО ТАКОЕ KELPDAO И ПОЧЕМУ ЭТО ВАЖНО
KelpDAO — это протокол ликвидного повторного стекинга, построенный на Ethereum и EigenLayer. Пользователи вносят ETH, протокол маршрутизирует его через инфраструктуру повторного стекинга EigenLayer для получения дополнительной доходности сверх стандартных наград за стекинг, и выпускает rsETH — торговый токен-расписку, представляющий позицию повторного стекинга плюс накопленные награды. К апрелю 2026 года rsETH превысил $1 миллиардов в общей заблокированной стоимости и был интегрирован в качестве залога в большинстве крупных рынков кредитования и платформ доходности в DeFi. rsETH работал на более чем 20 блокчейн-сетях, включая Arbitrum, Base, Linea, Mantle, Blast и Scroll, используя стандарт OFT LayerZero для перемещения между цепочками. Мост, который был опустошен, хранил резервы, поддерживающие все эти обернутые rsETH токены на всех Layer 2. Когда этот мост был опустошен, 18% всего циркулирующего rsETH стало необеспеченным одновременно на более чем 20 цепочках.
КАК БЫЛА ПРОВЕДЕНА АТАКА: ТЕХНИЧЕСКИЙ АНАЛИЗ
Это не взлом смарт-контракта. Каждая транзакция в цепочке выглядела полностью валидной. Подписи проверялись. Сообщения были правильно отформатированы. Уязвимость была в инфраструктуре вне цепочки — конкретно в сети децентрализованных проверяющих LayerZero, системе, которая подтверждает легитимность межцепочечных сообщений перед тем, как цепочка назначения выполнит их.
rsETH-мост KelpDAO использовал конфигурацию 1 из 1 DVN. Это означало, что только один субъект — DVN LayerZero Labs — должен был проверять и одобрять межцепочечные сообщения. Без второго проверяющего, без независимого подтверждения, без резервных систем. Один проверяющий. Одна точка отказа.
Группа Lazarus из Северной Кореи, государственный хакерский подраздел, обнаружила этот уязвимый участок и осуществила трёхэтапную инфраструктурную атаку. Сначала они взломали два внутренних RPC-узла, которые подавали рыночные данные в verifier LayerZero, отравив поток данных ложной информацией. Вторым шагом они запустили DDoS-атаку на резервные узлы, вынудив систему переключиться на уже скомпрометированную инфраструктуру. Третьим, когда verifier полностью работал на отравленных узлах, они внедрили поддельное межцепочечное сообщение LayerZero с номером 308, которое сообщало контракту моста Ethereum о действительном сжигании на исходной цепочке, что вызвало выпуск 116 500 rsETH на кошелек злоумышленника. Вся операция использовала заранее подготовленные кошельки, финансируемые через Tornado Cash примерно за 10 часов до атаки, что подтверждает, что это была спланированная операция на уровне государства, а не случайный взлом.
Через несколько минут злоумышленник заложил украденные rsETH в качестве залога на Aave и взял кредит более чем на $236 миллион долларов в WETH, используя необеспеченные токены как залог для реального займа. Воровство на $292 миллион превратилось в вывод WETH на сумму $236 миллион, прежде чем большинство пользователей поняли, что произошло.
РЕАКЦИЯ ЗА 46 МИНУТ, СПАСШАЯ $100 МИЛЛИОН
Команда экстренного реагирования KelpDAO обнаружила атаку и активировала мультисиг-режим экстренного остановки в 18:21 по всемирному времени, ровно через 46 минут после первоначального слива. Весь протокол был остановлен — заморожены депозиты, выводы и сам токен rsETH на основном и всех Layer 2. В 18:26 и 18:28 по UTC злоумышленник предпринял две попытки повторного слива по 40 000 rsETH (примерно $100 миллион долларов), обе были отменены из-за замороженных контрактов. 46 минут — это разница между эксплойтом на $292 миллион и катастрофой на $492 миллион. Быстрые действия команды KelpDAO — единственная причина, почему ущерб не удвоился.
КОНТАГИОН, ПРОНИКШИЙ В DEFI
Последствия атаки распространились быстрее, чем могла бы сдержать любая экстренная остановка. Aave, крупнейший протокол кредитования в DeFi с более чем $20 миллиардами в заблокированной стоимости, заморозил рынки rsETH на V3 и V4 в течение нескольких часов. Использование ETH на Aave кратковременно достигло 100%, поскольку пользователи спешили вывести средства. Токен AAVE упал примерно на 10-20%, поскольку трейдеры оценивали возможные риски плохого долга. SparkLend и Fluid также заморозили свои рынки rsETH. Lido Finance приостановила депозиты в свой продукт earnETH из-за экспозиции rsETH. Ethena временно остановила свои мосты LayerZero OFT с Ethereum mainnet в качестве меры предосторожности. Общий TVL в DeFi снизился с 99,5 миллиарда долларов до 85,21 миллиарда долларов за один день — $14 миллиард долларов, уничтоженных в экосистеме одним эксплойтом на одном мосту. Анализ инцидента Aave показал, что эксплойт создал необеспеченное залоговое обеспечение, использованное для займа примерно $190 миллиона долларов, что поставило протокол перед возможной плохой задолженностью в диапазоне от $123 миллионов до $230 миллионов в зависимости от того, как KelpDAO распределит недостачу между держателями rsETH.
ПРИЗНАНИЕ ГРУППЫ LAZARUS
Это был не случайный взлом. LayerZero официально связала атаку с группой Lazarus из Северной Кореи — тем же государственным хакерским подразделением, которое связано с эксплойтом $285 миллион Drift 1 апреля 2026 года и десятками предыдущих краж криптовалют на миллиарды долларов за несколько лет. Группа Lazarus — самая продуктивная и технически продвинутая операция по взлому криптовалют в мире, и их участие в двух из трёх крупнейших эксплойтов DeFi 2026 года за 18 дней подтверждает систематическую, скоординированную кампанию против инфраструктурного слоя DeFi, а не контрактного.
НЕПРЕЗЕНДЕНТНОЕ АВАРИЙНОЕ ЗАМОРОЗКА ARBITRUM
21 апреля 2026 года, через три дня после атаки, Совет безопасности Arbitrum осуществил самое масштабное в истории Layer 2 экстренное вмешательство. 12 членов совета, действующие по схеме мультисиг 9 из 12, изъяли 30 766 ETH с адреса злоумышленника на Arbitrum One и перевели их на замороженный промежуточный кошелек. Перевод завершился в 23:26 по восточному времени 21 апреля. Эти средства не могут быть перемещены без официального голосования в Arbitrum. Вмешательство вернуло примерно 71,15 миллиона долларов, около 29% ETH, накопленных злоумышленником на Arbitrum. Остальные 75 701 ETH (примерно $175 миллион долларов на Ethereum mainnet) уже были переведены и проходили через Thorchain и другие инструменты приватности до того, как было введено замораживание.
Это вызвало немедленные дебаты о децентрализации. Если 12 человек могут заморозить активы на Arbitrum, что это значит для обещания Layer 2 о безразрешительном владении? Поддерживающие называли это защитой DeFi от преступлений, спонсируемых государством. Критики — доказательством того, что Arbitrum в конечном итоге — это мультисиг-кошелек с возможностью переопределения контроля пользователя.
ВИРТУАЛЬНАЯ ВОЙНА ВИНЫ: LayerZero против KelpDAO
После эксплойта начался публичный спор между LayerZero и KelpDAO о том, кто несет ответственность. LayerZero опубликовала постмортем, в котором утверждается, что KelpDAO выбрала конфигурацию 1 из 1 DVN, несмотря на явные рекомендации по внедрению резервных проверяющих, и заявила, что немедленно прекратит подпись сообщений для любых приложений с однопроверяющей настройкой, вынудив широкую миграцию всех интеграций LayerZero.
KelpDAO ответила, что конфигурация 1 из 1 — это стандартная настройка, поставляемая LayerZero для новых развертываний, что документация LayerZero и публичный код развертывания продвигают однопроверяющую систему, и что скомпрометированная инфраструктура — RPC-узлы и серверы DVN — полностью построены и управляются LayerZero, а не Kelp. Исследователи безопасности частично поддержали Kelp, в том числе известный разработчик banteg, опубликовавший технический обзор, подтверждающий, что стандартный код LayerZero использует однопроверяющую систему по умолчанию для основных цепочек.
В результате возникла патовая ситуация без ясного разрешения. Обе стороны обещают провести полные постмортемы. Вопрос о том, подвержены ли все остальные приложения OFT 1 из 1, работающие на LayerZero, тому же типу атаки, остается без ответа.
ЧТО ЭТО ЗНАЧИТ ДЛЯ DEFI ВПЕРВЫЕ
Эксплойт KelpDAO — это не просто очередной взлом. Это событие, определяющее категорию, которое выявило структурную слепую зону всей межцепочечной экосистемы DeFi. Атака находится в той же исторической семье, что и сбои мостов Ronin и Nomad, где контрольные точки централизованной проверки становились высокоценной целью. Но она идет дальше, потому что цепочные контракты никогда не были затронуты. Каждая транзакция в цепочке была валидной. Неудача заключалась в невидимой инфраструктуре вне цепочки, которую DeFi считало решенной проблемой уже много лет.
Уроки очевидны и требуют немедленного реагирования. Конфигурации с несколькими проверяющими DVN теперь обязательны для любого моста с значительной стоимостью. Аудиты конфигураций, проверяющие настройки развертывания, а не только код смарт-контрактов, должны стать стандартной практикой. Мониторинг межцепочечных инвариантов, постоянно проверяющий соответствие выпущенных токенов на целевых цепочках с сожженными на исходных, — это новый минимальный уровень безопасности мостов. И вопрос о том, как DeFi справляется с операциями хакеров, спонсируемых государством, с ресурсами и терпением национального уровня, пока остается без ясного ответа.
$292 миллионный ущерб. $14 миллиардов TVL уничтожено. $230 миллионов потенциальных плохих долгов Aave. 30 766 ETH заморожено Arbitrum. Атрибуция Lazarus Group. Всё это указывает на один вывод: слой инфраструктуры межцепочечного DeFi — наиболее недостаточно защищенная поверхность во всей экосистеме, и самые продвинутые хакеры мира выявили этот факт и систематически используют его.
Атака rsETH — это не предупреждение. Это вердикт. Исправьте инфраструктурный слой или потеряете всё, что находится сверху.
АТАКА, ИЗМЕНИВШАЯ DEFI НАВСЕГДА
Ровно в 17:35 по всемирному времени 18 апреля 2026 года, одно поддельное межцепочечное сообщение вызвало крупнейшую в этом году уязвимость в DeFi. Мост rsETH на базе LayerZero проекта KelpDAO был опустошен на 116 500 rsETH, примерно $292 миллион долларов за считанные минуты. Ни один смарт-контракт не был взломан. Ни один код Solidity не был использован. Вся атака произошла в невидимом слое между блокчейнами, в инфраструктуре вне цепочки, на которую DeFi тихо полагалось, не полностью понимая её уязвимость. К моменту, когда пыль уляжется через 24 часа, общий заблокированный в DeFi объем снизился с 99,5 миллиарда долларов до 85,21 миллиарда долларов — разрушение стоимости на сумму $14 миллиард долларов за один эксплойт. Это обновление по атаке rsETH, которое каждый участник DeFi должен полностью понять.
ЧТО ТАКОЕ KELPDAO И ПОЧЕМУ ЭТО ВАЖНО
KelpDAO — это протокол ликвидного повторного стекинга, построенный на Ethereum и EigenLayer. Пользователи вносят ETH, протокол маршрутизирует его через инфраструктуру повторного стекинга EigenLayer для получения дополнительной доходности сверх стандартных наград за стекинг, и выпускает rsETH — торговый токен-расписку, представляющий позицию повторного стекинга плюс накопленные награды. К апрелю 2026 года rsETH превысил $1 миллиардов в общей заблокированной стоимости и был интегрирован в качестве залога в большинстве крупных рынков кредитования и платформ доходности в DeFi. rsETH работал на более чем 20 блокчейн-сетях, включая Arbitrum, Base, Linea, Mantle, Blast и Scroll, используя стандарт OFT LayerZero для перемещения между цепочками. Мост, который был опустошен, хранил резервы, поддерживающие все эти обернутые rsETH токены на всех Layer 2. Когда этот мост был опустошен, 18% всего циркулирующего rsETH стало необеспеченным одновременно на более чем 20 цепочках.
КАК БЫЛА ПРОВЕДЕНА АТАКА: ТЕХНИЧЕСКИЙ АНАЛИЗ
Это не взлом смарт-контракта. Каждая транзакция в цепочке выглядела полностью валидной. Подписи проверялись. Сообщения были правильно отформатированы. Уязвимость была в инфраструктуре вне цепочки — конкретно в сети децентрализованных проверяющих LayerZero, системе, которая подтверждает легитимность межцепочечных сообщений перед тем, как цепочка назначения выполнит их.
rsETH-мост KelpDAO использовал конфигурацию 1 из 1 DVN. Это означало, что только один субъект — DVN LayerZero Labs — должен был проверять и одобрять межцепочечные сообщения. Без второго проверяющего, без независимого подтверждения, без резервных систем. Один проверяющий. Одна точка отказа.
Группа Lazarus из Северной Кореи, государственный хакерский подраздел, обнаружила этот уязвимый участок и осуществила трёхэтапную инфраструктурную атаку. Сначала они взломали два внутренних RPC-узла, которые подавали рыночные данные в verifier LayerZero, отравив поток данных ложной информацией. Вторым шагом они запустили DDoS-атаку на резервные узлы, вынудив систему переключиться на уже скомпрометированную инфраструктуру. Третьим, когда verifier полностью работал на отравленных узлах, они внедрили поддельное межцепочечное сообщение LayerZero с номером 308, которое сообщало контракту моста Ethereum о действительном сжигании на исходной цепочке, что вызвало выпуск 116 500 rsETH на кошелек злоумышленника. Вся операция использовала заранее подготовленные кошельки, финансируемые через Tornado Cash примерно за 10 часов до атаки, что подтверждает, что это была спланированная операция на уровне государства, а не случайный взлом.
Через несколько минут злоумышленник заложил украденные rsETH в качестве залога на Aave и взял кредит более чем на $236 миллион долларов в WETH, используя необеспеченные токены как залог для реального займа. Воровство на $292 миллион превратилось в вывод WETH на сумму $236 миллион, прежде чем большинство пользователей поняли, что произошло.
РЕАКЦИЯ ЗА 46 МИНУТ, СПАСШАЯ $100 МИЛЛИОН
Команда экстренного реагирования KelpDAO обнаружила атаку и активировала мультисиг-режим экстренного остановки в 18:21 по всемирному времени, ровно через 46 минут после первоначального слива. Весь протокол был остановлен — заморожены депозиты, выводы и сам токен rsETH на основном и всех Layer 2. В 18:26 и 18:28 по UTC злоумышленник предпринял две попытки повторного слива по 40 000 rsETH (примерно $100 миллион долларов), обе были отменены из-за замороженных контрактов. 46 минут — это разница между эксплойтом на $292 миллион и катастрофой на $492 миллион. Быстрые действия команды KelpDAO — единственная причина, почему ущерб не удвоился.
КОНТАГИОН, ПРОНИКШИЙ В DEFI
Последствия атаки распространились быстрее, чем могла бы сдержать любая экстренная остановка. Aave, крупнейший протокол кредитования в DeFi с более чем $20 миллиардами в заблокированной стоимости, заморозил рынки rsETH на V3 и V4 в течение нескольких часов. Использование ETH на Aave кратковременно достигло 100%, поскольку пользователи спешили вывести средства. Токен AAVE упал примерно на 10-20%, поскольку трейдеры оценивали возможные риски плохого долга. SparkLend и Fluid также заморозили свои рынки rsETH. Lido Finance приостановила депозиты в свой продукт earnETH из-за экспозиции rsETH. Ethena временно остановила свои мосты LayerZero OFT с Ethereum mainnet в качестве меры предосторожности. Общий TVL в DeFi снизился с 99,5 миллиарда долларов до 85,21 миллиарда долларов за один день — $14 миллиард долларов, уничтоженных в экосистеме одним эксплойтом на одном мосту. Анализ инцидента Aave показал, что эксплойт создал необеспеченное залоговое обеспечение, использованное для займа примерно $190 миллиона долларов, что поставило протокол перед возможной плохой задолженностью в диапазоне от $123 миллионов до $230 миллионов в зависимости от того, как KelpDAO распределит недостачу между держателями rsETH.
ПРИЗНАНИЕ ГРУППЫ LAZARUS
Это был не случайный взлом. LayerZero официально связала атаку с группой Lazarus из Северной Кореи — тем же государственным хакерским подразделением, которое связано с эксплойтом $285 миллион Drift 1 апреля 2026 года и десятками предыдущих краж криптовалют на миллиарды долларов за несколько лет. Группа Lazarus — самая продуктивная и технически продвинутая операция по взлому криптовалют в мире, и их участие в двух из трёх крупнейших эксплойтов DeFi 2026 года за 18 дней подтверждает систематическую, скоординированную кампанию против инфраструктурного слоя DeFi, а не контрактного.
НЕПРЕЗЕНДЕНТНОЕ АВАРИЙНОЕ ЗАМОРОЗКА ARBITRUM
21 апреля 2026 года, через три дня после атаки, Совет безопасности Arbitrum осуществил самое масштабное в истории Layer 2 экстренное вмешательство. 12 членов совета, действующие по схеме мультисиг 9 из 12, изъяли 30 766 ETH с адреса злоумышленника на Arbitrum One и перевели их на замороженный промежуточный кошелек. Перевод завершился в 23:26 по восточному времени 21 апреля. Эти средства не могут быть перемещены без официального голосования в Arbitrum. Вмешательство вернуло примерно 71,15 миллиона долларов, около 29% ETH, накопленных злоумышленником на Arbitrum. Остальные 75 701 ETH (примерно $175 миллион долларов на Ethereum mainnet) уже были переведены и проходили через Thorchain и другие инструменты приватности до того, как было введено замораживание.
Это вызвало немедленные дебаты о децентрализации. Если 12 человек могут заморозить активы на Arbitrum, что это значит для обещания Layer 2 о безразрешительном владении? Поддерживающие называли это защитой DeFi от преступлений, спонсируемых государством. Критики — доказательством того, что Arbitrum в конечном итоге — это мультисиг-кошелек с возможностью переопределения контроля пользователя.
ВИРТУАЛЬНАЯ ВОЙНА ВИНЫ: LayerZero против KelpDAO
После эксплойта начался публичный спор между LayerZero и KelpDAO о том, кто несет ответственность. LayerZero опубликовала постмортем, в котором утверждается, что KelpDAO выбрала конфигурацию 1 из 1 DVN, несмотря на явные рекомендации по внедрению резервных проверяющих, и заявила, что немедленно прекратит подпись сообщений для любых приложений с однопроверяющей настройкой, вынудив широкую миграцию всех интеграций LayerZero.
KelpDAO ответила, что конфигурация 1 из 1 — это стандартная настройка, поставляемая LayerZero для новых развертываний, что документация LayerZero и публичный код развертывания продвигают однопроверяющую систему, и что скомпрометированная инфраструктура — RPC-узлы и серверы DVN — полностью построены и управляются LayerZero, а не Kelp. Исследователи безопасности частично поддержали Kelp, в том числе известный разработчик banteg, опубликовавший технический обзор, подтверждающий, что стандартный код LayerZero использует однопроверяющую систему по умолчанию для основных цепочек.
В результате возникла патовая ситуация без ясного разрешения. Обе стороны обещают провести полные постмортемы. Вопрос о том, подвержены ли все остальные приложения OFT 1 из 1, работающие на LayerZero, тому же типу атаки, остается без ответа.
ЧТО ЭТО ЗНАЧИТ ДЛЯ DEFI ВПЕРВЫЕ
Эксплойт KelpDAO — это не просто очередной взлом. Это событие, определяющее категорию, которое выявило структурную слепую зону всей межцепочечной экосистемы DeFi. Атака находится в той же исторической семье, что и сбои мостов Ronin и Nomad, где контрольные точки централизованной проверки становились высокоценной целью. Но она идет дальше, потому что цепочные контракты никогда не были затронуты. Каждая транзакция в цепочке была валидной. Неудача заключалась в невидимой инфраструктуре вне цепочки, которую DeFi считало решенной проблемой уже много лет.
Уроки очевидны и требуют немедленного реагирования. Конфигурации с несколькими проверяющими DVN теперь обязательны для любого моста с значительной стоимостью. Аудиты конфигураций, проверяющие настройки развертывания, а не только код смарт-контрактов, должны стать стандартной практикой. Мониторинг межцепочечных инвариантов, постоянно проверяющий соответствие выпущенных токенов на целевых цепочках с сожженными на исходных, — это новый минимальный уровень безопасности мостов. И вопрос о том, как DeFi справляется с операциями хакеров, спонсируемых государством, с ресурсами и терпением национального уровня, пока остается без ясного ответа.
$292 миллионный ущерб. $14 миллиардов TVL уничтожено. $230 миллионов потенциальных плохих долгов Aave. 30 766 ETH заморожено Arbitrum. Атрибуция Lazarus Group. Всё это указывает на один вывод: слой инфраструктуры межцепочечного DeFi — наиболее недостаточно защищенная поверхность во всей экосистеме, и самые продвинутые хакеры мира выявили этот факт и систематически используют его.
Атака rsETH — это не предупреждение. Это вердикт. Исправьте инфраструктурный слой или потеряете всё, что находится сверху.
