Podul KelpDAO exploatat pentru 292 de milioane de dolari, în contextul în care grupul Lazarus este asociat cu un atac

Pe 18 aprilie 2026, atacatorii a drenat 116,500 rsETH token-uri în valoare de aproximativ 292 de milioane de dolari de pe puntea cross-chain a KelpDAO, declanșând una dintre cele mai mari exploatări DeFi ale anului. 

Cicatrarea a eliminat aproximativ 18% din oferta totală circulantă a rsETH de 630,000 de tokenuri, a înghețat piețele pe principalele platforme de creditare și a făcut ca valoarea totală blocată (TVL) pe DeFi să scadă cu peste 13 miliarde de dolari în 48 de ore. 

LayerZero, a cărei infrastructură se baza podul, a indicat ulterior o alegere de configurație a KelpDAO drept cauză principală, în timp ce atribuirea inițială leagă atacul de Lazarus Group din Coreea de Nord.

Cum a fost drenat podul KelpDAO?

KelpDAO este un protocol de restaking lichid, un tip de platformă DeFi care acceptă depuneri de la utilizatori. ETH, îl direcționează prin EigenLayer pentru a obține un randament suplimentar pe lângă standard Ethereum recompense mizate și emite rsETH ca un token de chitanță tranzacționabil. Gândiți-vă la rsETH ca la un cec de revendicare: reprezintă mizate ETH și randamentul pe care îl generează, putând fi tranzacționat sau utilizat ca garanție în cadrul DeFi.

Podul care a fost drenat a fost construit folosind standardul OFT (Omnichain Fungible Token) al LayerZero. LayerZero este un strat de mesagerie cross-chain, adică este infrastructura care permite diferitelor blockchain-uri să trimită instrucțiuni verificate între ele. 

KelpDAO a implementat rsETH în peste 20 de rețele, inclusiv Base, Arbitrul, Linie, Explozie, Mantași Scroll. Podul deținea rezervele rsETH care susțineau versiunile încapsulate ale token-ului pe toate acele lanțuri de nivel 2.

Pe 18 aprilie, la ora 17:35 UTC, atacatorii au păcălit stratul de mesagerie al LayerZero făcându-l să creadă că o instrucțiune validă cross-chain a sosit dintr-o altă rețea. Acest lucru a declanșat eliberarea de către bridge-ul KelpDAO a 116,500 rsETH către o adresă controlată de atacator. 

Semnătura multiplă de urgență a KelpDAO întrerupte il CORE contracte 46 de minute mai târziu, la 18:21 UTC. Două încercări ulterioare, la 18:26 UTC și 18:28 UTC, au eșuat după ce pauza era deja în vigoare, potrivit CoinDesk. Fiecare dintre aceste încercări ulterioare a conținut un mesaj prin care încerca să extragă încă 40,000 rsETH, în valoare de aproximativ 100 de milioane de dolari.

Cum au ocolit atacatorii stratul de verificare

LayerZero are de atunci eliberat o analiză detaliată a modului în care a funcționat atacul din punct de vedere tehnic și este mai sofisticat decât o simplă eroare de contract inteligent.

Descoperă proiecte promițătoare...

Proiecte promițătoare...

(Publicitate)

Articolul continuă...

Verificarea bridge-ului LayerZero se bazează pe noduri RPC: servere care permit software-ului să citească și să scrie date pe un blockchain. Atacatorul a identificat două noduri RPC de care se baza verificatorul LayerZero pentru a confirma tranzacțiile cross-chain. A înlocuit software-ul care rula pe acele două noduri cu versiuni malițioase, proiectate să raporteze un singur lucru verificatorului LayerZero (că a avut loc o tranzacție validă), continuând în același timp să raporteze date precise către toate celelalte sisteme care interoghează aceleași noduri. Această înșelăciune selectivă a fost special concepută pentru a rămâne invizibilă pentru propria monitorizare a LayerZero, care interoghează aceleași RPC-uri de la adrese IP diferite.

Compromiterea a două noduri nu a fost suficientă, deoarece verificatorul LayerZero a interogat și noduri RPC externe necompromise. Așadar, atacatorii au executat un atac distribuit de tip denial-of-service (DDoS) împotriva acelor noduri externe pentru a forța sistemul să se reîncarce la cele compromise. 

Jurnalele de trafic partajate de LayerZero arată că atacul DDoS a rulat între orele 10:20 și 11:40, ora Pacificului, pe 18 aprilie. Odată ce failover-ul a fost declanșat, nodurile otrăvite au informat verificatorul că a sosit un mesaj legitim cross-chain, iar bridge-ul a eliberat rsETH. Software-ul nodului rău intenționat s-a autodistrus apoi, ștergându-și fișierele binare și jurnalele locale.

De ce a făcut configurația KelpDAO posibil acest lucru?

LayerZero a fost directă în ceea ce privește cine consideră că se află responsabilitatea. KelpDAO a rulat ceea ce se numește o configurație DVN 1 din 1. DVN este prescurtarea de la Decentralized Verifier Network (Rețea de Verificare Decentralizată), care este termenul folosit de LayerZero pentru entitățile care verifică mesajele cross-chain. 

Rularea unei configurații 1 din 1 a însemnat că LayerZero Labs era singura entitate care confirma mesajele către și de la podul rsETH. Compromiterea fluxului de date al unui verificator permite falsificarea unui mesaj valid.

Documentația publică de integrare a LayerZero și comunicările directe către KelpDAO recomandaseră o configurație cu mai mulți verificatori, în care ar fi necesar un consens între mai multe DVN-uri independente înainte ca un mesaj să fie acceptat ca valid. În cadrul acestei configurații, otrăvirea fluxului de date al unui verificator nu ar fi fost suficientă pentru a impulsiona o tranzacție frauduloasă.

„KelpDAO a ales să utilizeze o configurație DVN 1/1”, a scris LayerZero în raportul său post-mortem. „O configurație consolidată corespunzător ar fi necesitat consens între mai multe DVN-uri independente, ceea ce ar fi făcut ca acest atac să fie ineficient chiar și în cazul compromiterii oricărui singur DVN.”

Directorul tehnic al Ripple, David Schwartz, a făcut o a subliniat observație pe aceeași temă. El a menționat că, atunci când evaluează sistemele de bridging DeFi pentru RLUSDEl a descoperit că majoritatea protocoalelor aveau mecanisme puternice de securitate disponibile, dar le prezenta în mod obișnuit ca pe niște caracteristici opționale care adăugau complexitate operațională. 

În opinia sa, mesajul implicit transmis de furnizori era că clienții nu ar trebui să se obosească să utilizeze cele mai importante caracteristici de securitate pentru că acestea erau incomode. El a descris sentimentul că KelpDAO a ales probabil să nu utilizeze caracteristicile cheie de securitate LayerZero exact din acest motiv.

„Am o presimțire ciudată că o parte a problemei va fi ceva de genul faptului că KelpDAO a ales să nu utilizeze funcțiile cheie de securitate LayerZero din comoditate”, a declarat Schwartz. 

KelpDAO nu a răspuns public la încadrarea LayerZero și nici nu a explicat de ce a utilizat o configurație de verificator 1 din 1 în ciuda acestor recomandări, încă.

Ce s-a întâmplat cu rsETH după scurgere?

Deoarece puntea deținea rezervele care susțineau rsETH pe fiecare lanț de nivel 2 în care era implementată, drenajul i-a lăsat pe deținătorii din acele rețele confruntați cu o întrebare serioasă: există ceva care să susțină token-urile mele? Această incertitudine a creat o buclă de feedback: îngrijorarea cu privire la susținerea token-urilor de nivel 2 ar putea determina deținătorii să își răscumpere rsETH-ul pentru... ETH on Ethereum rețeaua principală, ceea ce ar putea, la rândul său, să forțeze KelpDAO să își retragă pozițiile de restaking pe EigenLayer pentru a onora aceste retrageri.

KelpDAO a confirmat incidentul în prima sa postare publică pe X la ora 20:10 UTC, la aproape trei ore după scurgere. Protocolul a declarat că lucrează cu LayerZero, Unichain, auditorii săi și specialiști externi în securitate pentru a investiga.

Ce protocoale au înghețat piețele?

Contagiunea s-a răspândit rapid în DeFi:

• Aave a înghețat piețele rsETH atât pe V3, cât și pe V4 în câteva ore. Fondatorul Stani Kulechov a clarificat că exploatarea a fost externă și AavePropriile contracte ale companiei nu au fost afectate.
• SparkLend și Fluid și-au înghețat piețele rsETH.
• Lido Finance a suspendat depozitele suplimentare în produsul său earnETH, care are expunere la rsETH, clarificând în același timp că stETH și wstETH nu sunt afectate.
• Etena a întrerupt temporar punțile sale LayerZero OFT de la Ethereum mainnet ca măsură de precauție, spunând că nu are expunere la rsETH și rămâne supracolateralizat cu peste 101%. 

Cât de mult a scăzut TVL-ul DeFi?

Consecințele financiare s-au extins mult dincolo de propriul ecosistem KelpDAO. Valoarea totală blocată în cadrul DeFi a scăzut de la 99 de miliarde de dolari la 86 de miliarde de dolari în cele 48 de ore de la exploatare, o scădere de 13.21 miliarde de dolari, potrivit... date de la DefiLlamaTVL este o măsură standard a valorii combinate în dolari a activelor depuse prin protocoalele DeFi și este utilizată pe scară largă ca indicator al lichidității și activității generale a pieței.

Aave singur a văzut 9.5 de miliarde de dolari în depozite ieșire în acea perioadă, TVL-ul său scăzând la 17.947 miliarde de dolari. Datele la nivel de protocol au arătat scăderi procentuale de două cifre pe platforme, inclusiv Euler, Sentora și Aave, cu pierderi concentrate pe creditare, restocare și strategii de randament legate de garanții rsETH.

Mecanismul din spatele acestor ieșiri de fonduri a fost simplu, dar dăunător. Atacatorii au folosit rsETH-ul furat drept garanție pentru a împrumuta fonduri pe platformele de creditare. Deoarece aceste token-uri nu mai aveau garanții legitime pe care le susțineau, împrumuturile în baza lor au creat potențiale deficite pentru creditori. Este similar cu depunerea de monedă falsă într-o bancă și contractarea de împrumuturi în baza acesteia: banca rămâne cu datorii neperformante. Protocoalele au răspuns prin înghețarea piețelor afectate, ceea ce, la rândul său, a determinat utilizatorii să retragă fonduri pe scară largă, accelerând declinul TVL.

FANTOMĂ a scăzut cu 18% în ultimele 48 de ore.

Este grupul Lazarus în spatele atacului?

LayerZero a atribuit atacul cu o încredere inițială grupului Lazarus din Coreea de Nord și subunității sale TraderTraitor, pe baza analizei metodelor și infrastructurii atacatorului. Peter Chung, șeful de cercetare la Presto Research, a menționat într-o notă de cercetare că incidentul evidențiază riscuri în infrastructura cross-chain, în special în sistemele de verificare, și că analizele timpurii sugerează că problema a provenit din stratul de verificare, mai degrabă decât din contractele inteligente în sine.

Dacă atribuirea este valabilă, exploatarea KelpDAO ar reprezenta a doua pierdere majoră de informații DeFi legată de Lazarus Group în ultimele 18 zile. Pe 1 aprilie, suntrapProtocolul Drift, bazat pe perpetuals, a fost secuiat de aproximativ 285 de milioane de dolari într-un atac legat ulterior de aceeași unitate nord-coreeană. Cele două atacuri au folosit metode structural diferite: inginerie socială la Drift și otrăvire a infrastructurii la KelpDAO. Împreună, cele două incidente reprezintă peste 575 de milioane de dolari secuiți de DeFi în mai puțin de trei săptămâni.

Ce a făcut LayerZero de la atac?

LayerZero a confirmat zero contagiune către nicio altă aplicație din protocol. Fiecare token și aplicație standard OFT care rulează configurații cu verificator multiplu nu a fost afectată. Verificatorul LayerZero Labs este din nou online. Compania a anunțat, de asemenea, că nu va mai semna mesaje pentru nicio aplicație care rulează o configurație DVN 1 din 1, ceea ce forțează efectiv o migrare la nivel de protocol de la configurațiile cu un singur verificator.

Concluzie

Exploatarea KelpDAO nu a fost o eroare în codul LayerZero. A fost un atac de infrastructură țintit, posibil printr-o singură decizie de configurare: rularea unei configurații de verificare 1 din 1, în ciuda recomandărilor documentate împotriva acesteia. Atacatorii, atribuiți inițial Lazarus Group din Coreea de Nord, au otrăvit nodurile RPC, au forțat un failover printr-un DDoS coordonat și au secat 116,500 rsETH înainte ca KelpDAO să își poată întrerupe contractele. Efectele ulterioare au inclus peste 13 miliarde de dolari în TVL DeFi șterse în 48 de ore, blocări în... Aave, SparkLend, Fluid și Lido, precum și o discuție mai amplă despre decalajul dintre caracteristicile de securitate oferite de punțile cross-chain și caracteristicile utilizate efectiv de integratorii lor.

Resurse

1. Lookonchain pe XPostări (18 aprilie - 20 aprilie)

2. Raport de CoinDeskCea mai mare exploatare cripto din 2026: 292 de milioane de dolari sunt drenați din Kelp DAO cu ether înfășurat și blocat în 20 de lanțuri

3. LayerZero pe XPostare pe 20 aprilie

4. Raport de The BlockSe pare că podul rsETH al Kelp DAO a fost exploatat pentru aproximativ 292 de milioane de dolari într-un atac bazat pe LayerZero.

5. Portalul DeFiLlamaDate TVL DeFi