Kelp планирует полное обновление кросс-чейн моста через две недели, ether.fi также синхронно усиливает безопасность WeETH

Спустя две недели после взлома кросс-чейн-моста Kelp DAO rsETH от 18 апреля и вывода 116 500 rsETH (примерно 292 млн долларов США) инцидент уже завершился в острой фазе. Kelp 29 апреля объявила о завершении полного обновления кросс-чейн-моста, а в тот же день ether.fi синхронно опубликовала план трёхуровневого усиления безопасности для weETH и присоединилась к коллективной спасательной инициативе DeFi United, пожертвовав 5 000 ETH. LayerZero, Consensys, Mantle и другие участники суммарно уже мобилизовали более 70 000 ETH на средства спасения; DeFi United перешла от момента взрыва инцидента к стадии структурного постобслуживания.

Обновление кросс-чейн-моста Kelp 4/29: валидаторы изменены на 4-of-4, Ethereum — единственный хаб

Изначально атакующий 18 апреля использовал тот факт, что в кросс-чейн-мосту Kelp был настроен только 1-of-1 DVN (Decentralized Verifier Network) одноточечно, и подделал кросс-чейн-сообщения для вывода rsETH. Жёсткие меры, завершённые Kelp 4/29, заново спроектировали механизм верификации и топологию:

Во-первых, число валидаторов увеличено с 1 до 4 независимых attestors — Canary, Horizen, LayerZero Labs, Nethermind; по каждому маршруту входа и выхода требуется прохождение всех 4 проверок, поэтому атакующему нужно одновременно скомпрометировать безопасность и операционную устойчивость четырёх независимых базовых инфраструктур и юрисдикций, чтобы подделать одно кросс-чейн-сообщение. Во-вторых, число подтверждений блоков для всех цепочек повышено с 42 до 64, что увеличивает стоимость атак на перестроение (reorg attack). В-третьих, топологическая структура изменена с full mesh на hub-and-spoke: прямые маршруты L2 ↔ L2 отменены, все кросс-чейн-сообщения теперь принудительно пересылаются через мейннет Ethereum, устраняя горизонтальную зависимость между L2 и уменьшая площадь атаки.

В объявлении Kelp подчеркнула, что «каждая настройка, отклоняющаяся от значений LayerZero по умолчанию, строго усилена и никогда не ослаблена», и заявила, что в дальнейшем продолжит «изучать более безопасных поставщиков кросс-чейн-инфраструктуры», оставив задел на будущее по замене LayerZero.

ether.fi синхронно усиливает weETH и присоединяется к DeFi United, пожертвовав 5 000 ETH

Объявление ether.fi от 4/29 в 18:13 UTC: хотя свой weETH компания заранее защитила принудительным выполнением настройки «2 DVN и более» и напрямую не пострадала, всё равно она провела протокольное усиление безопасности для weETH на всех 20 линиях развертывания. Конкретные обновления по трём уровням:

Первый уровень Message Library Pinning: адреса SendUln302 и ReceiveUln302 жёстко «прибиты» к слотам OApp weETH напрямую; теперь мультиподписной кошелёк LayerZero больше не может заменить библиотеку на обход DVN верификации. Второй уровень DVN configuration pinning + порог 4/4: зафиксирован набор из четырёх DVN; для каждой кросс-чейн-сообщения требуется прохождение всех 4/4, и любое недоступное или скомпрометированное DVN приведёт к немедленному разрыву сообщения. Третий уровень Pair-Wise Rate Limits: на каждый путь (исходная цепь, целевая цепь) задан консервативный лимит на вход/выход weETH; лимиты управляются контрактами ether.fi напрямую и не зависят от поставщика upstream bridge.

Итог обновления — «мультиподпись LayerZero полностью не может изменить bridge-настройки weETH в цепочке: все параметры безопасности находятся исключительно под контролем мультиподписи ether.fi». Также ether.fi объявила о вступлении в DeFi United: её фонд пожертвовал 5 000 ETH в специализированный спасательный казначейский фонд; параллельно оценивается внедрение Chainlink CCIP или Wormhole в качестве второго провайдера кросс-чейн-сообщений, а до конца июня будет отключена функция бриджирования weETH на таких цепях, как Scroll, Swell, Bera, zkSync, Mode, Blast, Morph, Sonic и др.

DeFi United — ровно две недели: мобилизовано более 70K ETH, ставки по займам USDC реагируют

Спасательный альянс DeFi United, инициированный с Aave во главе и охватывающий множество DeFi-протоколов, быстро расширялся в течение двух недель с 24 апреля. Ключевые пожертвования и вклады включают: LayerZero Labs пообещала свыше 10 000 ETH (5 000 ETH в DeFi United и 5 000 ETH в Aave ликвидити-пул), Consensys обязалась до 30 000 ETH, Mantle планирует выдать Aave кредит в форме 30 000 ETH, ether.fi Foundation — 5 000 ETH, Puffer Finance задействует часть средств из казны, River внесёт 3 млн долларов США USDT. Сбор средств DeFi United по состоянию на 26 апреля превысил 100 000 независимых адресов-доноров.

Вливание спасательных средств напрямую отразилось на ставках на рынке кредитования Aave. По наблюдениям ончейн-аналитика DefiScope от 4/30, в момент публикации сообщения о вкладе Mantle в 30K ETH ставка займа USDC на Aave снизилась примерно с 15% до 6,23%, а рыночная утилизация (utilization) упала с почти 100% до 91,5%. Это в основном соответствует поступлению около 100 млн долларов США USDC на погашение (преимущественно за счёт разблокировки арбитражного плеча через USDe). Иными словами, «коллективное спасение» — это не только PR-акция, а реальная сила, перестраивающая условия ликвидности на рынке займов.

Однако постобслуживание инцидента ещё не завершено. Наблюдатели в цепочке отмечают, что через 12 дней после атаки атакующий всё ещё удерживает около 107 000 rsETH на позициях с обеспечением в Aave и Compound, и эти позиции до сих пор не ликвидированы. Причина в том, что для unwind этих позиций нужны управленческие предложения с обеих сторон (Aave и Compound), временная корректировка oracle, многосторонние процессы ликвидации под мультиподпись, а также обратный путь к выкупу через Kelp — это «ликвидация в формате комитета», обычно занимающая недели. Aave планирует вернуть 107K rsETH с 7 адресов атакующих. От технического харденинга и мобилизации коллективного спасения до возврата просроченной задолженности — способность DeFi координировать действия по «постобработке» проходит в этой истории первые реальные стресс-тесты.

Эта статья о том, что через две недели после Kelp провела полное обновление кросс-чейн-моста, а ether.fi синхронно усилила weETH, впервые появилась на сайте ABMedia.