KelpDAO, протокол ліквідного рестейкінгу, оприлюднив офіційну заяву щодо масштабного злому мосту rsETH, унаслідок якого було викрадено активи на понад $290 млн. Представники KelpDAO прямо поклали відповідальність на LayerZero, підкресливши, що ключовою причиною інциденту стала саме вразливість інфраструктури LayerZero, а не недоліки у налаштуваннях із боку KelpDAO.
Про це розповідає Бізнес • Медіа
Деталі конфігурації та позиція сторін
У центрі суперечки опинилася модель верифікації 1-of-1 DVN, яку використовували численні протоколи DeFi. LayerZero після атаки заявив про її небезпечність, хоча, за твердженням KelpDAO, раніше сам схвалював застосування цієї конфігурації для своїх користувачів. Команда KelpDAO стверджує, що діяла у межах стандартних рекомендацій LayerZero, неодноразово погоджуючи їх безпечність із розробниками інфраструктури.
Щоб підтвердити свою позицію, KelpDAO оприлюднив фрагмент листування з представником LayerZero Labs, де було прямо схвалено використання 1-1 DVN:
«Це Telegram-листування з членом команди LayerZero Labs, який не лише знав про конфігурацію 1-1 DVN, але й прямо її схвалив».
Після інциденту LayerZero змінив свою позицію, стверджуючи, що саме ця модель стала причиною злому. Проте аналітика показує, що подібна конфігурація була широко розповсюдженою: приблизно 47% OApp-контрактів LayerZero використовували 1-1 DVN, понад 120 протоколів працювали на цій схемі, а близько 90% повідомлень перевірялися лише одним або двома DVN. Це ставить під сумнів версію LayerZero про унікальність помилки саме у KelpDAO.
Механізм атаки та наслідки для ринку
Згідно з аналізом KelpDAO та незалежних експертів, атака, яка відбулася 18 квітня 2026 року, була спрямована не на смартконтракти, а на інфраструктуру LayerZero. Зловмисники скомпрометували RPC-вузли, що використовувалися DVN, і здійснили атаку типу RPC-спуфінг. Внаслідок цього було підписано фальшиві транзакції на понад $100 млн, з яких частину вдалося заблокувати. Загальні втрати сягнули близько $292 млн.
LayerZero підтвердив факт компрометації частини власної інфраструктури, однак незалежні дослідники вказують на те, що масштаби інциденту набагато ширші:
«Атака LayerZero не була отруєнням RPC […] це був злом інфраструктури всередині периметра».
KelpDAO зазначив, що саме її команда першою виявила аномалії та оперативно зупинила роботу контрактів, аби мінімізувати наслідки для користувачів.
За інформацією LayerZero, до злому може бути причетне північнокорейське хакерське угруповання Lazarus Group. Частину вкрадених активів вдалося заморозити: мережа Arbitrum заблокувала 30 766 ETH (еквівалентно $71 млн), щодо яких пізніше розпочався судовий процес за участю Aave. Водночас зловмисники встигли відмити близько 34 500 ETH (приблизно $80 млн), скориставшись THORChain.
Реакція KelpDAO і подальші кроки
Після атаки KelpDAO оголосив про повну відмову від інфраструктури LayerZero та перехід на Chainlink CCIP. Команда підкреслила, що обирає перевірене рішення з мінімізацією довіри до зовнішніх залежностей:
«Ми переходимо до використання перевіреної інфраструктури та мінімізуємо довіру до зовнішніх залежностей».
За словами KelpDAO, Chainlink вже обробив понад $30 трлн обсягу транзакцій і зарекомендував себе як стійке рішення навіть у періоди глобальних збоїв.
Інцидент спричинив хвилю обговорень серед учасників ринку щодо безпеки DeFi-протоколів, зокрема щодо надмірної централізації DVN, ризиків використання стандартних конфігурацій без додаткової перевірки та відсутності належного моніторингу атак. KelpDAO публічно поставив низку важливих запитань до LayerZero, вимагаючи пояснень щодо компрометації інфраструктури та своєчасного реагування на подібні загрози.
