20 апреля децентрализованный протокол Kelp DAO стал жертвой масштабной хакерской атаки, убытки от которой превысили 300 миллионов долларов. Уже в первые часы после инцидента стало понятно, что это одно из крупнейших ограблений в секторе DeFi за последние годы. В этой статье мы проанализируем, что известно на сегодня, и подробно рассмотрим ход расследования в течение первых 18 дней после взлома.
Если в первые часы после инцидента картина событий была фрагментарной, то в течение следующих десяти дней расследование обросло значительным количеством технических подробностей и фактов.
Атака 1
Фаза 1
Первичная атака
Продолжалась на протяжении одной минуты.
Точкой входа был выбран кроссчейн-адаптер rsETH на базе инфраструктуры LayerZero. Взлом произошел за счет компрометации инфраструктуры RPC-узлов. Для этого использовали архитектурную ошибку. Уражение всей системы началось с одного скомпрометированного идентификатора.
Фаза 2
Площадь основных событий
После взлома системы злоумышленники использовали хитрую схему: они отправили подделанное сообщение о успешном «блокировании» средств.
Для тех, кто не разбирается в архитектуре DeFi, в этом контексте «блокировка» работает не как заморозка счета, а как подтверждение вклада. В нормальных условиях процесс выглядит так:
Этап 1
Вы вносите актив (например, 100$). Система фиксирует получение средств и «блокирует» их в своем хранилище как залог.
Этап 2
Только после успешного первого этапа запускается автоматический процесс выпуска новых токенов, которые получает пользователь.
Именно эту логику использовали хакеры. Они заставили систему поверить, что первый этап пройден успешно, хотя реальные активы не вносились. Воспринимая подделанное сообщение за легитимное, протокол ошибочно выпустил 116 500 rsETH без какой-либо фактической залога. Благодаря интеграции с технологией LayerZero, злоумышленники смогли мгновенно распространить это влияние на несколько блокчейнов. Это позволило им одновременно вывести средства из более чем 20 сетей, среди которых Arbitrum, Base, Linea и другие, превратив ошибку одного протокола в масштабную потерю ликвидности во всей экосистеме.
Фаза 3
Выход и легализация
Получив тысячи неликвидных токенов rsETH (которые фактически не имели под собой реального обеспечения), хакеры использовали их как залог в кредитных протоколах, в частности, в Aave.
Как это работает (простыми словами):
Представьте обычный ломбард. Если вы принесете туда картину, оценщик тщательно ее проверит в реальном времени, прежде чем выдать деньги. Однако кредитные криптопротоколы — это автоматические системы, которые работают по заранее прописанным алгоритмам. Хакеры «принесли» в такой цифровой ломбард подделанные произведения искусства (неликвидные rsETH). Поскольку система восприняла эти токены как легитимные, она автоматически выдала под их залог настоящие ликвидные средства — Ethereum (WETH). Злоумышленники получили реальную криптовалюту, оставив протоколу вместо этого ничего не стоящие «фантики». Чтобы окончательно замести следы, полученные средства были мгновенно распылены между сотнями анонимных адресов. Это сделало процесс отслеживания и возврата активов чрезвычайно сложной задачей для аналитиков.
Контрмеры
Администраторы Kelp DAO активировали "экстренную остановку" для всех смарт-контрактов, чтобы предотвратить дальнейшее выведение средств. Атака затронула не менее 9 смежных протоколов, команда начала срочную синхронизацию с другими DeFi-площадками для изоляции поврежденных пулов ликвидности.
В первые минуты были подключены команды кибербезопасности, в частности:
Cyvers:
Одной из первых выявила аномальную активность и подтвердила факт взлома
Halborn
Опубликовала детальный технический отчет, где объяснила причину взлома — уязвимость в конфигурации верификатора кроссчейн-моста.
PeckShield
Направили силы на анализ транзакций.
Chainalysis и Elliptic
Отслеживание украденных активов.
После первых контрмер казалось, что эта история пойдет по логическому пути расследования, коммуникации и т.д. Однако через 20 минут произошло то, что могло вывести это ограбление на еще более высокий уровень категоризации последствий.
Атака 2
Несмотря на контрдиции после вышеупомянутых событий, система была скомпрометирована и хакеры нанесли повторный удар.
Точкой входа выступили те же самые скомпрометированные RPC-узлы.
В тот момент основные смарт-контракты уже были заморожены командами защиты, и для атаки был выбран другой путь. Был отправлен новый пакет данных с фальшивым подтверждением "сжигания" токенов на одной из сетей. Основная идея заключалась в попытке заставить мост выпустить новую порцию незакрепленных rsETH уже в другой сети.
Концепция простыми словами:
При отправке 100 монет из одной сети в другую можно выделить несколько фаз.
Фаза 1
Сеть, из которой отправлены монеты, фиксирует их условное сжигание, формируя по сути блок данных, который выступает в определенной мере как квитанция. Она прямым текстом говорит: сформирован запрос на передачу определенного количества монет.
Фаза 2
Если это связанные сети, по заданным проверочным алгоритмам другая сеть начинает принимать данные. Если верификация пройдена уже на другой сети, инициируется выпуск тех же 100 монет. Хакеры отправили фальшивое сообщение о успешных действиях фазы 1, которой на самом деле не было. В случае успеха было бы получено 95 - 105 млн долларов в виде rsETH.
Противодействие команд безопасности
Кроме концентрации усилий на последствиях предыдущей атаки, часть команд защищала "периметр". В результате успешного разделения сил совет безопасности Arbitrum заблокировал попытку вывода средств на уровне смарт-контрактов, и атака потерпела неудачу.
Кто стоит за атакой
Официальных обвинений конкретным лицам или государственным группировкам выдвинуто не было. Основным подозреваемым в масштабной атаке на Kelp DAO, которая произошла в апреле 2026 года, является северокорейская хакерская группировка Lazarus Group (в частности, ее подразделение TraderTraitor). Предварительные отчеты от LayerZero Labs, а также анализ компаний Chainalysis, Halborn и блокчейн-детектива ZachXBT указывают на Lazarus Group как наиболее вероятного исполнителя.
Расследование взлома Kelp DAO, который произошел в апреле 2026 года, объединило международные команды кибербезопасности, правоохранительные органы и специализированные блокчейн-группы быстрого реагирования. Поскольку атаку связывают с северокорейским объединением Lazarus Group (в частности, с подгруппой TraderTraitor), расследование имеет глобальный характер.
Ведущие команды расследования
Команда Kelp DAO и аудиторы
Работают над устранением уязвимостей и восстановлением данных из логов инфицированных узлов.
LayerZero Labs
Провела анализ собственной инфраструктуры (RPC-узлов), что была использована как точка входа.
Совет безопасности Arbitrum
Орган управления сетью Arbitrum, который координировал заморозку активов.
США
Chainalysis
Предоставила детальный отчет, в котором подтвердила, что атака была направлена на офф-чейн инфраструктуру, а не на смарт-контракты.
TRM Labs
Занимаются активным отслеживанием кошельков злоумышленников в реальном времени.
Китай/Сингапур
PeckShield
Помогает отслеживать маршруты перевода украденных активов через различные протоколы конфиденциальности.
Израиль
Cyvers
Одни из первых зафиксировали взлом и предоставили технический анализ того, как хакеры отмывали средства через THORChain и BitTorrent.
Южная Корея
Активно сотрудничает через разведывательные данные о деятельности северокорейских хакеров.
Международное сообщество
Группа быстрого реагирования и безопасности SEAL. Присоединилась к предварительному расследованию и помогла минимизировать дальнейшие потери.
Компенсация
Источники средств для компенсации:
Замороженные средства ($71 млн)
Это те же активы на Arbitrum, которые заблокировала Совет безопасности сети. Их вернули в Kelp DAO через специальное голосование управления.
Собственный фонд казначейства
Команда Kelp использовала накопленные комиссии и часть собственных резервов для покрытия.
Продажа токенов KELP
Был проведен экстренный раунд финансирования через продажу токенов проекта венчурным фондам с большим дисконтом, чтобы быстро получить ликвидность.
План восстановления
Приоритет розничным инвесторам
Обычные пользователи, которые держали небольшие суммы в rsETH, получили доступ к выводу средств первыми.
Технические "долговые расписки"
Для тех, кто не хотел ждать 6 месяцев на полное возвращение, Kelp выпустила специальные токены kLoss. Они представляли право на будущую долю от прибыли протокола. Пользователи могли либо держать их до полной выплаты, либо продать на вторичном рынке тем, кто готов был ждать.
Роль LayerZero
Поскольку взлом произошел через инфраструктуру LayerZero, компания-разработчик (LayerZero Labs) выделила грант в размере $10 млн как жест доброй воли для поддержки пострадавших пользователей, хотя юридически они не признали своей полной вины.
6 апреля команда Kelp DAO официально объявила о отказе от дальнейшего использования систем LayerZero и переходе на инфраструктуру Chainlink.
Статус на сегодня
Большинство пользователей (более 98%) полностью восстановили свои позиции. Однако крупные институциональные вкладчики все еще находятся в процессе получения последних траншей согласно графику разблокировки.
Вывод
Взлом Kelp DAO официально стал одним из крупнейших ограблений последних лет. Однако расследование выявило, что за первичной атакой последовала вторая волна. Благодаря профессионализму команд по кибербезопасности этот повторный нападение удалось полностью отбить, что сократило потенциальные потери примерно на 40%. Несмотря на это, ситуация остается сложной. Вопрос защиты данных приобретает критическое значение, учитывая стремительный рост количества проектов и перспективу трансформации криптосистем в полноценный финансовый фундамент целых государств.