attack

290 млн за час: технический пост-мортем эксплойта Kelp DAO rsETH bridge

18 апреля 2026 года, в 17:35 UTC, произошёл один из крупнейших DeFi-эксплойтов 2026 года. Аттакер вывел 116 500 rsETH (примерно $292–293 млн по текущему курсу) через мост на базе LayerZero OFT. Это около 18% от всего циркулирующего supply rsETH.
Важно: основной протокол Kelp DAO (депозитные пулы, EigenLayer-интеграция и restaking-логика) не пострадал. Удар пришёлся исключительно на cross-chain bridge — адаптер OFT (Omnichain Fungible Token), построенный поверх инфраструктуры LayerZero.
Как именно прошёл эксплойт (технический разбор)
1. Подготовка
За ~10 часов до атаки кошельки атакующего получили средства через Tornado Cash (классический приём для отмывания входного капитала и сокрытия происхождения).
2. Критический вызов
Аттакер выполнил вызов функции lzReceive на контракте LayerZero EndpointV2.
Этот вызов прошёл через Kelp DAO’s OFT bridge contract и привёл к выпуску (mint) или разблокировке 116 500 rsETH без соответствующего backing на исходной цепи.
Транзакция: 0x1ae232da212c45f35c1525f851e4c41d529bf18af862d9ce9fd40bf709db4222 (Ethereum).
События в логах показывают, что bridge принял сообщение как валидное, хотя оно, судя по всему, пришло от некорректного/тестового peer’а или с манипуляцией верификацией.
3. Механика уязвимости (предполагаемая)
Это не классический reentrancy или integer overflow в Solidity.
Это типичная конфигурационная уязвимость моста: - Слабая проверка peer’ов в security stack LayerZero (Ultra Light Node / EndpointV2).
- Отсутствие строгой валидации source chain + nonce + payload в конкретной реализации Kelp OFT adapter.
- Возможность подмены или подделки cross-chain сообщения, которое bridge интерпретировал как легитимный unlock/mint.
LayerZero OFT позволяет токену «летать» между цепями с минимальным trust, но в обмен на это требует очень точной настройки верификаторов, DVNs (Decentralized Verifier Networks) и library. Именно здесь, похоже, и возникла щель.
4. Монетизация (17:35–18:21 UTC)
Сразу после получения rsETH аттакер начал депозитить токены как коллатерал в lending-протоколы:
- В первую очередь Aave V3 и V4 (Ethereum + Arbitrum).
- Также Compound V3, Euler и другие.
Против rsETH брались крупные займы в WETH/ETH и других активах.
Часть средств была выведена в «чистый» ETH и распределена по нескольким адресам.
В результате на Aave образовался значительный bad debt (необеспеченные позиции), так как rsETH после паузы потерял доверие и ликвидность.

Реакция команд (время реакции — критично)
- Kelp DAO: через 46 минут (в 18:21 UTC) emergency multisig активировал pauser. Все основные контракты rsETH (токен, депозиты, выводы, оракулы) были поставлены на паузу на Ethereum и ряде L2. Две последующие попытки эксплойта были заблокированы.
Официальное заявление вышло около 20:10 UTC. Команда сотрудничает с LayerZero, Unichain, аудиторами и security-экспертами для root cause analysis (RCA).
- Aave: в 20:01 UTC заморозил все rsETH-маркеты на V3 и V4. Основные контракты Aave не затронуты. Планируется покрытие возможного bad debt через Safety Module.
- Другие протоколы (SparkLend, Fluid, Ethena, Yearn, Pendle и др.) оперативно заморозили или ограничили позиции с rsETH.

Почему это важно
- Это напоминание, что cross-chain bridges остаются одной из самых опасных поверхностей в DeFi. Даже при использовании «современных» решений вроде LayerZero OFT риски конфигурации и верификации peer’ов никуда не исчезают.
- Liquid restaking токены (LRT) с высокой мульти-чейн экспозицией становятся особенно привлекательными целями: большой TVL + использование в lending → каскадный эффект.
- Инцидент затронул экосистему шире: давление на цену AAVE (–10–13%), временная потеря доверия к rsETH, заморозки по всему DeFi.

Что дальше (на момент написания)
- Контракты rsETH всё ещё на паузе.
- Идёт расследование: Kelp + LayerZero + аудиторы.
- Ожидаются: полный post-mortem, план миграции на rsETH v2 (если потребуется), возможный blacklist атакующих адресов, обсуждение компенсаций.
- Аттакер пока удерживает средства в консолидированных адресах
#kelpdao #attack #hacked

In January 2026, the United States conducted a large-scale military operation in Venezuela, resulting in the capture of Venezuelan President Nicolás Maduro and his wife, Cilia Flores. The operation involved airstrikes on military targets and the use of U.S. special forces to extract them to the United States to face federal drug trafficking and weapons charges. $OL #attack #US #venezuela