# DeFiSecurity

#LayerZeroCEOAdmitsProtocolFlaws
Генеральний директор LayerZero зізнався: вразливості протоколу та наслідки $290M Hack
Світ міжланцюгових рішень потрясла подія у квітні-травні 2026 року. Генеральний директор LayerZero Браян Пеллегріно розкрив критичну вразливість у контракті токену Across Protocol. У той же тиждень стався хак на $292 мільйони в KelpDAO. Спільнота підняла голос: «Досить просто збільшувати кількість виконавців».
1. Зізнання CEO: «Червоний сигнал» у контракті токену
Пеллегріно звернувся до команди Across: «У вашому застосунку ERC20 ви випадково залишили функцію, яка має бути приватною, публічною. Власник контракту може зняти токени з будь-якого гаманця і скинути баланс до 0. Також контракти Across і UMA мають необмежені права на створення токенів».
Пропозиція рішення: передайте право власності на контракт у незмінний смарт-контракт. Вимкніть права на створення/знищення. Це постійна вразливість. Пеллегріно: «Якщо є програма винагороди за вразливості, пишіть команді LayerZero».
2. Катастрофа KelpDAO: суперечки про відповідальність
Близько 20 квітня з LayerZero було виведено міст KelpDAO: 116 500 rsETH $292M зникло. Є підозри на Lazarus Group.
LayerZero: «Атака не стосувалася нашого протоколу, а інфраструктурної системи. KelpDAO використовував 1-оф-1 DVN, тому це ізольована подія». Тобто довіряли лише одній мережі виконавців, нашою рекомендацією було використання багатьох DVN.
Спільнота обурена: «Ваша RPC інфраструктура зламано, ви не можете звинувачувати лише KelpDAO». 47% OApp досі використовує 1-оф-1 DVN. Ризик: понад $4.5 мільярдів.
3. Структурна проблема: архітектура DVN
LayerZero називає себе «модульною безпекою»: застосунки обирають свої DVN. Але якщо налаштування за замовчуванням слабкі, проекти без знань довіряють одній мережі виконавців. Так сталося і з KelpDAO. Зловмисники отруїли RPC і підтвердили фальшиві повідомлення.
Стани Кулєчов попередив: «Зломи мостів — це екзистенційна загроза для DeFi. Після Ronin, Poly Network, Nomad тепер у центрі уваги мости на базі LayerZero».
Вплив на ринок:
• ZRO Token: після хаку впав на 20%, у діапазоні $1.47-$2.28. За останні 3 дні підскочив на 5.18%, але тренд залишається низхідним.
• Ризик TVL: понад $4.5 млрд у OApp, що працює з 1-оф-1 DVN. Якщо подібна атака повториться, ризик поширення високий.
• Криза довіри: «Zero contagion» заявляли, але спільнота не переконана. Безпека мостів у DeFi — тепер головна тема.
Підсумок: LayerZero стверджує, що «застосунок обирає свою безпеку», але налаштування за замовчуванням ставлять мільярди під ризик. Зізнання CEO щодо Across — добросовісне, але реакція на KelpDAO із заявою «ми не несемо відповідальності» викликала негатив. Безпека протоколу не вирішується просто додаванням виконавців. Необхідний галузевий аудит, стандарти та прозорість.
#GateSquareMayTradingShare
#GateТорговийОбмінТравень
$292M

#rsETHAttackUpdate : Технічний аналіз найбільшої міжланцюгової атаки DeFi
18 квітня 2026 року протокол rsETH KelpDAO зазнав злома на суму $292 мільйонів через міст LayerZero, що стало одним із найзначніших інцидентів у сфері безпеки DeFi. Ця довідка аналізує вектори атаки, каскадні ефекти та структурні вразливості, що були виявлені.
Огляд атаки
Зловмисник створив 116 500 не забезпечених токенів rsETH (18% від загальної емісії), зламавши міжланцюгову інфраструктуру KelpDAO. Атака була спрямована на критичну архітектурну слабкість: міст KelpDAO працював у конфігурації a1-of-1 DVN (Децентралізована мережа валідаторів), що робило LayerZero Labs єдиним підтверджувачем для міжланцюгових повідомлень.
Технічне виконання
Атака здійснювалася за допомогою складної багатофазної стратегії:
1. Проникнення в інфраструктуру: Зловмисники отримали доступ до RPC-нодів, що використовуються DVN LayerZero, замінивши легітимні бінари op-geth на шкідливі версії, які подавали підроблені дані виключно на IP-адреси DVN.
2. Маніпуляція трафіком: За допомогою DDoS-атак на чисті ноди зловмисники примусили повністю перейти на зламану інфраструктуру, забезпечуючи маршрутизацію всього підтверджувального трафіку через заражені кінцеві точки.
3. Підробка повідомлень: Вигадане міжланцюгове повідомлення, що стверджувало про походження від розгортання KelpDAO Unichain, було підтверджено за допомогою підробленого стану в мережі, пройшовши через мульти-сиг multisig 2-of-3.
4. Виведення токенів: Міст випустив 116 500 rsETH на адреси, контрольовані зловмисником, у одній транзакції, створюючи не забезпечені токени без підкріплення заставою.
Аналіз атрибуції вказує на групу Lazarus з Північної Кореї (TraderTraitor), відому за просунуті крипто-зломи, спрямовані на фінансову інфраструктуру.
Фінансові каскадні ефекти
Зловмисник одразу використав не забезпечені rsETH як заставу у ринках Aave V3 і V4:
- Позичив 52 834 WETH на мережі Ethereum
- Позичив 29 782 WETH і 821 wstETH на Arbitrum
- Загальний обсяг виведення: приблизно 83 427 WETH і wstETH. Це спричинило значний борг у кредитних ринках Aave. Протокол відповів упродовж кількох годин, заморозивши ринки rsETH і видаливши можливість позик, але шкода поширилася на весь DeFi:
- Виведено понад $7 мільярдів доларів з провідних протоколів
- Aave втратив 6,2 мільярда доларів (23% від загальної вартості активів)
- Аналогічні витоки відбулися у Morpho, Sky та Jupiter Lend
- Панічні зняття торкнулися навіть непошкоджених протоколів на Solana
Багато протоколів і мереж запровадили заходи з ліквідації наслідків:
- KelpDAO призупинив контракти rsETH у мережах mainnet і L2
- Arbitrum заморозив 30 000 ETH ($71 мільйонів), пов’язаних із зломленими адресами
- Tether заморозив 1 мільйон USDT на двох гаманцях Tron
- Спільнота Aave ініціювала обговорення щодо постійного виключення rsETH
Структурні вразливості, що були виявлені
Злом показує фундаментальні слабкості у міжланцюговій архітектурі DeFi:
Централізована валідація: Попри маркетинг децентралізації, мости часто покладаються на концентровану перевірку. Конфігурація 1-of-1 DVN створила катастрофічну точку відмови.
Збої у межах довіри: Атака сталася на перетині верифікації повідомлень LayerZero і прийому мосту KelpDAO, що демонструє, як модульна безпека без надійних стандартів створює системний ризик.
Підсилення за допомогою компонованості: Зловмисники використали не забезпечені токени у кількох протоколах, що показує, як взаємозалежність DeFi посилює наслідки окремих збоїв.
Реальність управління: DeFi функціонує у середовищі, де теоретична децентралізація маскує практичну концентрацію контролю, ускладнюючи відповідальність і реагування у надзвичайних ситуаціях.
Вплив на індустрію
Цей інцидент має значні наслідки для розвитку DeFi:
Стандарти безпеки: Мости міжланцюгових рішень потребують розподілених механізмів валідації та усунення єдиних точок відмови. Індустрія має встановити мінімальні стандарти безпеки для архітектури мостів.
Оцінка ризиків: Протоколи кредитування потребують перевірки застави у реальному часі та більш строгого оцінювання підкріплення активів перед прийняттям депозитів.
Аварійні протоколи: Швидке заморожування ринків є необхідним, але реактивні заходи не можуть замінити запобіжну архітектуру безпеки.
Регуляторний нагляд: Зломи такого масштабу прискорюють увагу регуляторів і тиск щодо відповідності протоколів DeFi.
Облік і аудит: Аудитори стикаються з фундаментальними труднощами у оцінці ефективності контролю, коли валідація залежить від потенційно скомпрометованої поза-ланцюгової інфраструктури.
Ключові уроки
Для розробників і учасників:
1. Архітектура безпеки мостів вимагає багатопідписної розподіленої валідації, а не перевірки однією особою.
2. Забезпечення застави має бути перевіряємим у реальному часі, особливо для міжланцюгових активів.
3. Компонованість протоколів створює системний ризик, що потребує всебічної оцінки безпеки.
4. Можливості швидкого реагування мають бути збалансовані з превентивними заходами безпеки.
5. Необхідна ретельна перевірка безпеки базової інфраструктури перед внесенням коштів.
Висновок
Злом rsETH демонструє, що у DeFi дизайн мостів нерозривно визначає безпеку активів. Розподіл по ланцюгах не автоматично розподіляє ризик. Цей інцидент відкриває напруженість між швидким масштабуванням і надійною безпековою архітектурою, що визначає сучасний розвиток DeFi.
Атака відкриває істину: теоретична децентралізація часто маскує концентрацію контролю на практиці. Щоб DeFi досягла стійкої фінансової інфраструктури, індустрія має вирішити ці архітектурні вразливості через більш строгі стандарти, розподілені механізми валідації та пріоритет безпеки над швидкістю розгортання.
Каскадні наслідки для Aave та інших протоколів показують, як швидко збої окремих мостів стають системними кризами. Зі зростанням DeFi безпека міжланцюгових рішень має перейти від додаткової функції до фундаментального принципу дизайну.
Попереднє приписування державним акторам додає геополітичний вимір до викликів безпеки DeFi. Висока складність атак свідчить про можливе зростання їхньої складності та впливу, тому проактивні інвестиції у безпеку є життєво важливими для виживання протоколів.
Цей інцидент, ймовірно, прискорить розробку більш стійких міжланцюгових рішень і спонукатиме до всебічної переоцінки ризиків, пов’язаних із мостами у екосистемі DeFi. Питання вже не в тому, чи можна забезпечити мости, а чи зможе індустрія запровадити належні стандарти безпеки до наступного зламу.

#rsETHAttackUpdate : Технічний аналіз найбільшої міжланцюгової атаки DeFi
18 квітня 2026 року протокол rsETH KelpDAO зазнав злома на суму $292 мільйонів через міст LayerZero, що стало одним із найзначніших інцидентів у сфері безпеки DeFi. Ця довідка аналізує вектори атаки, каскадні ефекти та структурні вразливості, що були виявлені.
Огляд атаки
Зловмисник створив 116 500 не забезпечених токенів rsETH (18% від загальної емісії), зламавши міжланцюгову інфраструктуру KelpDAO. Атака була спрямована на критичну архітектурну слабкість: міст KelpDAO працював у конфігурації a1-of-1 DVN (Децентралізована мережа валідаторів), що робило LayerZero Labs єдиним підтверджувачем для міжланцюгових повідомлень.
Технічне виконання
Атака здійснювалася за допомогою складної багатофазної стратегії:
1. Проникнення в інфраструктуру: Зловмисники отримали доступ до RPC-нодів, що використовуються DVN LayerZero, замінивши легітимні бінари op-geth на шкідливі версії, які подавали підроблені дані виключно на IP-адреси DVN.
2. Маніпуляція трафіком: За допомогою DDoS-атак на чисті ноди зловмисники примусили повністю перейти на зламану інфраструктуру, забезпечуючи маршрутизацію всього підтверджувального трафіку через заражені кінцеві точки.
3. Підробка повідомлень: Вигадане міжланцюгове повідомлення, що стверджувало про походження від розгортання KelpDAO Unichain, було підтверджено за допомогою підробленого стану в мережі, пройшовши через мульти-сиг multisig 2-of-3.
4. Виведення токенів: Міст випустив 116 500 rsETH на адреси, контрольовані зловмисником, у одній транзакції, створюючи не забезпечені токени без підкріплення заставою.
Аналіз атрибуції вказує на групу Lazarus з Північної Кореї (TraderTraitor), відому за просунуті крипто-зломи, спрямовані на фінансову інфраструктуру.
Фінансові каскадні ефекти
Зловмисник одразу використав не забезпечені rsETH як заставу у ринках Aave V3 і V4:
- Позичив 52 834 WETH на мережі Ethereum
- Позичив 29 782 WETH і 821 wstETH на Arbitrum
- Загальний обсяг виведення: приблизно 83 427 WETH і wstETH. Це спричинило значний борг у кредитних ринках Aave. Протокол відповів упродовж кількох годин, заморозивши ринки rsETH і видаливши можливість позик, але шкода поширилася на весь DeFi:
- Виведено понад $7 мільярдів доларів з провідних протоколів
- Aave втратив 6,2 мільярда доларів (23% від загальної вартості активів)
- Аналогічні витоки відбулися у Morpho, Sky та Jupiter Lend
- Панічні зняття торкнулися навіть непошкоджених протоколів на Solana
Багато протоколів і мереж запровадили заходи з ліквідації наслідків:
- KelpDAO призупинив контракти rsETH у мережах mainnet і L2
- Arbitrum заморозив 30 000 ETH ($71 мільйонів), пов’язаних із зломленими адресами
- Tether заморозив 1 мільйон USDT на двох гаманцях Tron
- Спільнота Aave ініціювала обговорення щодо постійного виключення rsETH
Структурні вразливості, що були виявлені
Злом показує фундаментальні слабкості у міжланцюговій архітектурі DeFi:
Централізована валідація: Попри маркетинг децентралізації, мости часто покладаються на концентровану перевірку. Конфігурація 1-of-1 DVN створила катастрофічну точку відмови.
Збої у межах довіри: Атака сталася на перетині верифікації повідомлень LayerZero і прийому мосту KelpDAO, що демонструє, як модульна безпека без надійних стандартів створює системний ризик.
Підсилення за допомогою компонованості: Зловмисники використали не забезпечені токени у кількох протоколах, що показує, як взаємозалежність DeFi посилює наслідки окремих збоїв.
Реальність управління: DeFi функціонує у середовищі, де теоретична децентралізація маскує практичну концентрацію контролю, ускладнюючи відповідальність і реагування у надзвичайних ситуаціях.
Вплив на індустрію
Цей інцидент має значні наслідки для розвитку DeFi:
Стандарти безпеки: Мости міжланцюгових рішень потребують розподілених механізмів валідації та усунення єдиних точок відмови. Індустрія має встановити мінімальні стандарти безпеки для архітектури мостів.
Оцінка ризиків: Протоколи кредитування потребують перевірки застави у реальному часі та більш строгого оцінювання підкріплення активів перед прийняттям депозитів.
Аварійні протоколи: Швидке заморожування ринків є необхідним, але реактивні заходи не можуть замінити запобіжну архітектуру безпеки.
Регуляторний нагляд: Зломи такого масштабу прискорюють увагу регуляторів і тиск щодо відповідності протоколів DeFi.
Облік і аудит: Аудитори стикаються з фундаментальними труднощами у оцінці ефективності контролю, коли валідація залежить від потенційно скомпрометованої поза-ланцюгової інфраструктури.
Ключові уроки
Для розробників і учасників:
1. Архітектура безпеки мостів вимагає багатопідписної розподіленої валідації, а не перевірки однією особою.
2. Забезпечення застави має бути перевіряємим у реальному часі, особливо для міжланцюгових активів.
3. Компонованість протоколів створює системний ризик, що потребує всебічної оцінки безпеки.
4. Можливості швидкого реагування мають бути збалансовані з превентивними заходами безпеки.
5. Необхідна ретельна перевірка безпеки базової інфраструктури перед внесенням коштів.
Висновок
Злом rsETH демонструє, що у DeFi дизайн мостів нерозривно визначає безпеку активів. Розподіл по ланцюгах не автоматично розподіляє ризик. Цей інцидент відкриває напруженість між швидким масштабуванням і надійною безпековою архітектурою, що визначає сучасний розвиток DeFi.
Атака відкриває істину: теоретична децентралізація часто маскує концентрацію контролю на практиці. Щоб DeFi досягла стійкої фінансової інфраструктури, індустрія має вирішити ці архітектурні вразливості через більш строгі стандарти, розподілені механізми валідації та пріоритет безпеки над швидкістю розгортання.
Каскадні наслідки для Aave та інших протоколів показують, як швидко збої окремих мостів стають системними кризами. Зі зростанням DeFi безпека міжланцюгових рішень має перейти від додаткової функції до фундаментального принципу дизайну.
Попереднє приписування державним акторам додає геополітичний вимір до викликів безпеки DeFi. Висока складність атак свідчить про можливе зростання їхньої складності та впливу, тому проактивні інвестиції у безпеку є життєво важливими для виживання протоколів.
Цей інцидент, ймовірно, прискорить розробку більш стійких міжланцюгових рішень і спонукатиме до всебічної переоцінки ризиків, пов’язаних із мостами у екосистемі DeFi. Питання вже не в тому, чи можна забезпечити мости, а чи зможе індустрія запровадити належні стандарти безпеки до наступного зламу.