KelpDAO, известный протокол ликвидного рестейкинга, опубликовал развернутое заявление о масштабной атаке на мост rsETH, в результате которой было украдено более $292 млн. Проект прямо возложил ответственность за инцидент на LayerZero, подчеркнув, что причиной стала именно компрометация инфраструктуры этой платформы, а не ошибки в настройках самого KelpDAO.
Об этом сообщает Finway
Конфигурационная спор и позиция KelpDAO
В центре конфликта — модель верификации 1-of-1 DVN, которую LayerZero ранее рекомендовала и одобрила для использования партнерами. KelpDAO отметил, что применял именно стандартную конфигурацию, согласованную с представителями LayerZero, и имеет прямые подтверждения этого во внутренней переписке. Именно после атаки LayerZero изменила свою позицию, назвав эту конфигурацию уязвимой и причиной взлома.
«Это Telegram-переписка с членом команды LayerZero Labs, который не только знал о конфигурации 1-1 DVN, но и прямо ее одобрил».
Статистика свидетельствует, что около 47% OApp-контрактов LayerZero использовали аналогичную модель верификации, а более 120 протоколов работали по такой же схеме. Это ставит под сомнение утверждение о уникальной ошибке именно KelpDAO.
Детали взлома и последствия для рынка
Согласно анализу KelpDAO и независимых исследователей, атака, произошедшая 18 апреля 2026 года, была направлена не на смартконтракты, а на инфраструктуру LayerZero. Злоумышленники скомпрометировали RPC-узлы, которые использовались DVN, организовав атаку типа RPC-спуфинг. Это позволило им подписать фальшивые транзакции на более чем $100 млн (часть средств удалось заблокировать), а общие потери составили около $292 млн.
LayerZero официально подтвердила факт компрометации части своей инфраструктуры. В то же время независимые эксперты подчеркнули, что:
«Атака LayerZero не была отравлением RPC […] это был взлом инфраструктуры внутри периметра».
KelpDAO подчеркнул, что именно он первым обнаружил атаку и своевременно остановил работу контрактов, чтобы минимизировать последствия.
Согласно информации LayerZero, к атаке может быть причастна северокорейская группировка Lazarus Group. Часть активов удалось заморозить: сеть Arbitrum заблокировала более 30 000 ETH (примерно $71 млн), которые позже стали предметом судебного спора с участием Aave. В то же время злоумышленники уже успели отмыть около 34 500 ETH ($80 млн) через THORChain.
Новые риски и переход на Chainlink
После инцидента KelpDAO объявил об отказе от использования инфраструктуры LayerZero и переходе на Chainlink CCIP. Команда подчеркнула, что Chainlink уже обработал более $30 трлн объема транзакций и оставался стабильным даже во время глобальных сбоев.
«Мы переходим к использованию проверенной инфраструктуры и минимизируем доверие к внешним зависимостям».
Инцидент вызвал появление новых вопросов в отрасли относительно безопасности децентрализованных протоколов: в частности, относительно централизации DVN, общих точек контроля, использования дефолтных конфигураций без дополнительной проверки и отсутствия своевременного мониторинга атак. KelpDAO также публично призвал LayerZero объяснить, как именно была скомпрометирована инфраструктура и почему система не обнаружила атаку раньше.