KelpDAO, відомий протокол ліквідного рестейкінгу, оприлюднив розгорнуту заяву щодо масштабної атаки на міст rsETH, у результаті якої було викрадено понад $292 млн. Проєкт прямо поклав відповідальність за інцидент на LayerZero, підкресливши, що причиною стала саме компрометація інфраструктури цієї платформи, а не помилки в налаштуваннях самого KelpDAO.
Про це розповідає Finway
Конфігураційна суперечка та позиція KelpDAO
У центрі конфлікту — модель верифікації 1-of-1 DVN, яку LayerZero раніше рекомендувала та схвалювала для використання партнерами. KelpDAO наголосив, що застосовував саме стандартну конфігурацію, погоджену з представниками LayerZero, і має прямі підтвердження цього у внутрішньому листуванні. Саме після атаки LayerZero змінила свою позицію, назвавши цю конфігурацію вразливою та причиною злому.
«Це Telegram-листування з членом команди LayerZero Labs, який не лише знав про конфігурацію 1-1 DVN, але й прямо її схвалив».
Статистика свідчить, що близько 47% OApp-контрактів LayerZero використовували аналогічну модель верифікації, а понад 120 протоколів працювали за такою ж схемою. Це ставить під сумнів твердження про унікальну помилку саме KelpDAO.
Деталі злому та наслідки для ринку
Згідно з аналізом KelpDAO та незалежних дослідників, атака, що сталася 18 квітня 2026 року, була спрямована не на смартконтракти, а на інфраструктуру LayerZero. Зловмисники скомпрометували RPC-вузли, що використовувалися DVN, організувавши атаку типу RPC-спуфінг. Це дозволило їм підписати фальшиві транзакції на понад $100 млн (частину коштів вдалося заблокувати), а загальні втрати склали близько $292 млн.
LayerZero офіційно підтвердила факт компрометації частини своєї інфраструктури. Водночас незалежні експерти наголосили, що:
«Атака LayerZero не була отруєнням RPC […] це був злом інфраструктури всередині периметра».
KelpDAO підкреслив, що саме він першим виявив атаку та своєчасно зупинив роботу контрактів, щоб мінімізувати наслідки.
Згідно з інформацією LayerZero, до атаки може бути причетне північнокорейське угруповання Lazarus Group. Частину активів вдалося заморозити: мережа Arbitrum заблокувала понад 30 000 ETH (приблизно $71 млн), які пізніше стали предметом судового спору за участю Aave. Водночас зловмисники вже встигли відмити близько 34 500 ETH ($80 млн) через THORChain.
Нові ризики та перехід на Chainlink
Після інциденту KelpDAO оголосив про відмову від використання інфраструктури LayerZero й перехід на Chainlink CCIP. Команда підкреслила, що Chainlink вже обробив понад $30 трлн обсягу транзакцій і залишався стабільним навіть під час глобальних збоїв.
«Ми переходимо до використання перевіреної інфраструктури та мінімізуємо довіру до зовнішніх залежностей».
Інцидент зумовив появу нових питань у галузі щодо безпеки децентралізованих протоколів: зокрема щодо централізації DVN, спільних точок контролю, використання дефолтних конфігурацій без додаткової перевірки та відсутності своєчасного моніторингу атак. KelpDAO також публічно закликав LayerZero пояснити, як саме була скомпрометована інфраструктура й чому система не виявила атаку раніше.