20 kwietnia zdecentralizowany protokół Kelp DAO padł ofiarą dużego ataku hakerskiego, którego straty przekroczyły 300 milionów dolarów. Już w pierwszych godzinach po incydencie stało się jasne, że to jedno z największych rabunków w sektorze DeFi w ostatnich latach. W tym artykule przeanalizujemy, co wiadomo do tej pory, oraz szczegółowo omówimy przebieg śledztwa w ciągu pierwszych 18 dni po włamanie.
Jeśli w pierwszych godzinach po incydencie obraz wydarzeń był fragmentaryczny, to w ciągu następnych dziesięciu dni śledztwo obrosło znaczną ilością technicznych szczegółów i faktów.
Atak 1
Faza 1
Pierwszy atak
Trwała przez jedną minutę.
Punktem wejścia był wybrany cross-chain adapter rsETH oparty na infrastrukturze LayerZero. Włamanie miało miejsce z powodu kompromitacji infrastruktury węzłów RPC. Wykorzystano do tego błąd architektoniczny. Uderzenie całego systemu zaczęło się od jednego skompromitowanego identyfikatora.
Faza 2
Obszar głównych wydarzeń
Po włamaniu do systemu przestępcy użyli przebiegłej schemy: wysłali fałszywą wiadomość o pomyślnym „zablokowaniu” funduszy.
Dla tych, którzy nie znają architektury DeFi, w tym kontekście „blokada” działa nie jako zablokowanie konta, ale jako potwierdzenie wkładu. W normalnych warunkach proces wygląda tak:
Etap 1
Wnosisz aktyw (na przykład 100$). System rejestruje otrzymanie funduszy i „blokuje” je w swoim magazynie jako zabezpieczenie.
Etap 2
Dopiero po pomyślnym zakończeniu pierwszego etapu uruchamiany jest automatyczny proces wypuszczania nowych tokenów, które otrzymuje użytkownik.
Właśnie tę logikę wykorzystali hakerzy. Zmusili system do uwierzenia, że pierwszy etap został pomyślnie zakończony, chociaż realne aktywa nie były wprowadzane. Przyjmując fałszywą wiadomość za legitymację, protokół omyłkowo wypuścił 116 500 rsETH bez żadnej faktycznej zabezpieczenia. Dzięki integracji z technologią LayerZero, przestępcy mogli natychmiast rozprzestrzenić ten wpływ na kilka blockchainów. Umożliwiło im to jednoczesne wyprowadzenie funduszy z ponad 20 sieci, w tym Arbitrum, Base, Linea i innych, przekształcając błąd jednego protokołu w masową utratę płynności w całej ekosystemie.
Faza 3
Wycofanie i legalizacja
Otrzymując tysiące nielikwidnych tokenów rsETH (które faktycznie nie miały realnego zabezpieczenia), hakerzy użyli ich jako zabezpieczenia w protokołach kredytowych, w tym Aave.
Jak to działa (prosto mówiąc):
Wyobraź sobie zwykły lombard. Jeśli przyniesiesz tam obraz, rzeczoznawca dokładnie go sprawdzi w czasie rzeczywistym, zanim wydasz pieniądze. Jednak kredytowe protokoły kryptograficzne to automatyczne systemy, które działają zgodnie z wcześniej ustalonymi algorytmami. Hakerzy "przynieśli" do takiego cyfrowego lombardu fałszywe dzieła sztuki (nielikwidne rsETH). Ponieważ system uznał te tokeny za legitymne, automatycznie wydał pod ich zabezpieczeniem prawdziwe płynne fundusze — Ethereum (WETH). Przestępcy uzyskali realną kryptowalutę, pozostawiając protokołowi nic nie warte "bilety". Aby ostatecznie zatarć ślady, uzyskane fundusze zostały natychmiast rozproszone pomiędzy setkami anonimowych adresów. Utrudniło to proces śledzenia i odzyskiwania aktywów dla analityków.
Działania kontrfaktyczne
Administratorzy Kelp DAO aktywowali "ekstremalne zatrzymanie" dla wszystkich smart kontraktów, aby zapobiec dalszemu wyprowadzaniu funduszy. Atak dotknął co najmniej 9 powiązanych protokołów, zespół rozpoczął pilną synchronizację z innymi platformami DeFi w celu izolacji uszkodzonych pul płynności.
W pierwszych minutach zaangażowano zespoły cyberbezpieczeństwa, w tym:
Cyvers:
Jedna z pierwszych zarejestrowała anormalną aktywność i potwierdziła fakt włamania
Halborn
Opublikowano szczegółowy raport techniczny, w którym wyjaśniono przyczynę włamania — luka w konfiguracji weryfikatora mostu cross-chain.
PeckShield
Skierowali siły na analizę transakcji.
Chainalysis i Elliptic
Śledzenie skradzionych aktywów.
Po pierwszych działaniach kontrfaktycznych wydawało się, że ta historia pójdzie logiczną drogą śledztwa, komunikacji itd. Jednak po 20 minutach wydarzyło się coś, co mogło wynieść ten rabunek na jeszcze wyższy poziom kategoryzacji skutków.
Atak 2
Mimo kontrowersji po powyższych wydarzeniach, system został skompromitowany i hakerzy zadali kolejny cios.
Punktem wejścia były te same skompromitowane węzły RPC.
W tym momencie główne smart kontrakty były już zablokowane przez zespoły ochrony i dla ataku wybrano inną drogę. Wysłano nową paczkę danych z fałszywym potwierdzeniem "spalenia" tokenów na jednej z sieci. Główna idea polegała na próbie zmuszenia mostu do wypuszczenia nowej partii niezabezpieczonych rsETH już w innej sieci.
Koncepcja prostymi słowami:
Przy wysyłaniu 100 monet z jednej sieci do innej można wyróżnić kilka faz.
Faza 1
Sieć, z której wysyłane są monety, rejestruje ich warunkowe spalenie, tworząc w zasadzie blok danych, który działa w pewnym sensie jak pokwitowanie. Mówi wprost: złożono wniosek o przekazanie określonej ilości monet.
Faza 2
Jeśli to są powiązane sieci, według zadanych algorytmów weryfikacyjnych inna sieć zaczyna odbierać dane. Jeśli weryfikacja została już przeprowadzona na innej sieci, inicjuje się wypuszczenie tych samych 100 monet. Hakerzy wysłali fałszywą wiadomość o pomyślnym zakończeniu fazy 1, której tak naprawdę nie było. W przypadku sukcesu uzyskano by 95 - 105 mln dolarów w postaci rsETH.
Przeciwdziałanie zespołów bezpieczeństwa
Oprócz koncentracji wysiłków na skutkach poprzedniego ataku część zespołów chroniła "perymetr". W wyniku udanego podziału sił Rada Bezpieczeństwa Arbitrum zablokowała próbę wycofania funduszy na poziomie smart kontraktów i atak poniósł porażkę.
Kto stoi za atakiem
Oficjalnych oskarżeń wobec konkretnych osób lub rządowych grup nie postawiono. Głównym podejrzanym w rozległym ataku na Kelp DAO, który miał miejsce w kwietniu 2026 roku, jest północnokoreańska grupa hakerska Lazarus Group (w tym jej pododdział TraderTraitor). Wstępne raporty z LayerZero Labs, a także analizy firm Chainalysis, Halborn oraz detektywa blockchainowego ZachXBT, wskazują na Lazarus Group jako najbardziej prawdopodobnego wykonawcę.
Śledztwo w sprawie włamania Kelp DAO, które miało miejsce w kwietniu 2026 roku, połączyło międzynarodowe zespoły cyberbezpieczeństwa, organy ścigania oraz wyspecjalizowane grupy blockchainowe szybkiego reagowania. Ponieważ atak wiązany jest z północnokoreańską grupą Lazarus Group (w tym podgrupą TraderTraitor), śledztwo ma charakter globalny.
Wiodące zespoły śledcze
Zespół Kelp DAO i audytorzy
Pracują nad usunięciem luk i odzyskaniem danych z logów zainfekowanych węzłów.
LayerZero Labs
Przeprowadziłem analizę własnej infrastruktury (węzłów RPC), która była używana jako punkt wejścia.
Rada Bezpieczeństwa Arbitrum
Organ zarządzający siecią Arbitrum, który koordynował zamrożenie aktywów.
USA
Chainalysis
Przedstawiła szczegółowy raport, w którym potwierdziła, że atak był skierowany na infrastrukturę off-chain, a nie na smart kontrakty.
TRM Labs
Zajmują się aktywnym śledzeniem portfeli przestępców w czasie rzeczywistym.
Chiny/Singapur
PeckShield
Pomaga śledzić trasy transferu skradzionych aktywów przez różne protokoły prywatności.
Izrael
Cyvers
Jedna z pierwszych zarejestrowała włamanie i dostarczyła analizę techniczną tego, jak hakerzy prać pieniądze przez THORChain i BitTorrent.
Południowa Korea
Aktywnie współpracuje przez wywiady dotyczące działalności północnokoreańskich hakerów.
Międzynarodowa społeczność
Grupa szybkiego reagowania i bezpieczeństwa SEAL. Dołączyła do wstępnego śledztwa i pomogła zminimalizować dalsze straty.
Rekompensata
Źródła funduszy na rekompensatę:
Zablokowane fundusze ($71 mln)
To te same aktywa na Arbitrum, które zablokowała Rada Bezpieczeństwa sieci. Zwrócono je do Kelp DAO poprzez specjalne głosowanie zarządzające.
Własny fundusz skarbowy
Zespół Kelp wykorzystał zgromadzone prowizje i część swoich rezerw do pokrycia.
Sprzedaż tokenów KELP
Przeprowadzono pilny rundę finansowania poprzez sprzedaż tokenów projektu funduszom venture capital z dużym dyskontem, aby szybko uzyskać płynność.
Plan odbudowy
Priorytet dla detalicznych inwestorów
Zwykli użytkownicy, którzy trzymali niewielkie sumy w rsETH, uzyskali dostęp do wycofania funduszy jako pierwsi.
Techniczne "dłużne weksle"
Dla tych, którzy nie chcieli czekać 6 miesięcy na pełny zwrot, Kelp wypuścił specjalne tokeny kLoss. Reprezentowały one prawo do przyszłej części zysków protokołu. Użytkownicy mogli albo je trzymać do pełnej wypłaty, albo sprzedać na rynku wtórnym tym, którzy byli gotowi czekać.
Rola LayerZero
Ponieważ włamanie miało miejsce przez infrastrukturę LayerZero, firma deweloperska (LayerZero Labs) przyznała grant w wysokości $10 mln jako gest dobrej woli na wsparcie poszkodowanych użytkowników, chociaż prawnie nie uznali swojej pełnej winy.
6 kwietnia zespół Kelp DAO oficjalnie ogłosił rezygnację z dalszego używania systemów LayerZero i przejście na infrastrukturę Chainlink.
Status na dzisiaj
Większość użytkowników (ponad 98%) w pełni odzyskała swoje pozycje. Jednak dużym inwestorom instytucjonalnym wciąż trudności w uzyskaniu ostatnich transz zgodnie z harmonogramem odblokowywania.
Wnioski
Włamanie do Kelp DAO oficjalnie stało się jednym z największych rabunków ostatnich lat. Jednak śledztwo ujawniło, że po pierwotnym ataku nastąpiła druga fala. Dzięki profesjonalizmowi zespołów ds. cyberbezpieczeństwa udało się całkowicie odeprzeć ten wtórny atak, co zmniejszyło potencjalne straty o około 40%. Mimo to sytuacja pozostaje trudna. Kwestia ochrony danych nabiera krytycznego znaczenia, biorąc pod uwagę szybki wzrost liczby projektów oraz perspektywę przekształcenia kryptosystemów w pełnoprawny fundament finansowy całych państw.