# DeFiSecurity

#KelpDAOBridgeHacked
Злом моста KelpDAO: Технічний аналіз та вплив на індустрію
18 квітня 2026 року міст rsETH між ланцюгами KelpDAO зазнав найбільшого злому DeFi у 2026 році, внаслідок якого зловмисники вивели приблизно 116 500 rsETH, оцінюваних приблизно у $292 мільйонів. Інцидент становить близько 18% від загального обігу rsETH і спричинив каскадні ефекти у всій екосистемі DeFi.
Аналіз вектору атаки
Злом був здійснений за допомогою складної багатоступеневої атаки, спрямованої на інфраструктуру LayerZero. Зловмисники спочатку зламали два незалежні RPC-ноді, керовані LayerZero Labs, замінивши легітимні бінарні файли op-geth на шкідливі версії. Ці заражені ноди були спеціально налаштовані для обману мережі децентралізованих перевіряльних вузлів LayerZero (DVN), при цьому зберігаючи правдиві відповіді для інших систем моніторингу, ефективно уникаючи виявлення.
Послідовність атаки включала скоординований DDoS-удар по третьому чистому RPC-ноді, що змусило DVN перейти на зламану інфраструктуру. Конфігурація моста KelpDAO використовувала схему 1 з 1 DVN, тобто для підтвердження міжланцюгових повідомлень потрібен був лише DVN LayerZero Labs. Заражені ноди успішно підтвердили сфабриковану транзакцію спалювання на Unichain, яку relay-система EndpointV2 передала до OFT-адаптера KelpDAO, що спричинило несанкціонований випуск резервів основної мережі.
Після зламу зловмисник систематично відмивав викрадені rsETH через кілька гаманців, депонуючи кошти як заставу на ринках Aave V3 у мережах Ethereum та Arbitrum. Зловмисник отримав приблизно 75 700 WETH в Ethereum та 30 800 WETH в Arbitrum, досягнувши коефіцієнта позики до вартості близько 99%, перш ніж протокол зупинив подальше позичання.
Атрибуція та профіль зловмисника
Фахівці з безпеки та аналітики блокчейну приписують атаку групі Lazarus з Північної Кореї, зокрема кластеру TraderTraitor. Характеристики операцій відповідають задокументованим методам Lazarus: терплячі тактики вторгнення, маніпуляції з довіреною інфраструктурою та складні механізми пригнічення виявлення. Зловмисне програмне забезпечення після зламу самостійно знищило себе, систематично стираючи сліди слідчих доказів з компрометованих систем.
Реакція протоколу та обмеження
Aave відповів протягом кількох годин, заморозивши ринки rsETH у версіях V3 та V4, включно з інтеграцією SparkLend. На даний момент протокол має приблизно $177 мільйонів у поганому боргу, переважно зосередженого в Arbitrum. Загальна заблокована вартість у екосистемі Aave знизилася з $26 мільярдів до $18 мільярдів, що становить виведення капіталу на суму від 8 до 14 мільярдів доларів.
Поширення інциденту вийшло за межі Aave: понад 15 протоколів запровадили екстрені паузи мостів. Пули WETH зазнали 100% використання, що створює додаткові ризики ліквідації для позичальників з підвищеним плечем. KelpDAO заблокував адреси зловмисників і стверджує, що запобіг ще одному $95 мільйону у спробах подальших атак.
Спірний аналіз кореневої причини
Має місце суттєвий спір між KelpDAO та LayerZero щодо основної відповідальності. LayerZero стверджує, що конфігурація 1 з 1 DVN у KelpDAO відхиляється від рекомендованих практик безпеки, наголошуючи, що сам протокол не містив вразливостей і що інцидент був ізольований до інфраструктури rsETH. LayerZero пізніше виправив уразливі системи DVN та RPC.
KelpDAO заперечує, що стандартна документація та швидкий старт LayerZero рекомендували схему 1 з 1, і стверджує, що відповідальність за безпеку RPC-нод лежить на провайдері інфраструктури. Обидві сторони погоджуються, що уразливості смарт-контрактів не були використані; корінь проблеми — у довірчих припущеннях щодо одноточкових відмов.
Вплив на безпеку DeFi
Інцидент виявляє критичні вразливості у архітектурі міжланцюгових мостів, зокрема щодо безпеки RPC-інфраструктури. RPC-ноді стали системним слабким місцем, оскільки більшість протоколів покладаються на обмежену кількість провайдерів без достатньої диверсифікації відмов. Злом демонструє, що навіть складні системи багатопідпису та верифікації можна зламати, якщо джерела даних зламані.
Аналітики рекомендують негайно впровадити конфігурації з кількома DVN, диверсифіковані мережі RPC-провайдерів та системи аудиту конфігурацій у реальному часі. Модульна архітектура безпеки LayerZero обмежила радіус ураження саме rsETH, без впливу інших OFT або OApp контрактів, що свідчить про здатність системи зберігати стійкість навіть під час цілеспрямованих атак на інфраструктуру.
Поточний стан та зусилля з відновлення
Голосування в Aave наразі обговорює механізми соціалізації боргу для вирішення ситуації з поганим боргом. KelpDAO, LayerZero та Aave створили канали координації для операцій відновлення. Колектив безпеки блокчейну Seal-911 активно відслідковує рухи коштів, частина викрадених активів проходить через Tornado Cash та інші протоколи маскування. Канали переговорів з хакерами залишаються відкритими, хоча підтверджень відновлення станом на час написання немає.
Злом встановлює новий рекорд для DeFi-хаків 2026 року, перевищуючи інцидент з Drift Protocol на суму $285 мільйонів від 1 квітня. Інцидент підсилює постійні побоювання щодо безпеки мостів як основного вектору атак у DeFi, а міжланцюгова інфраструктура залишається найгарячішою точкою безпеки в екосистемі.
#KelpDAO #DeFiSecurity #BridgeExploit #CryptoNews

#KelpDAOBridgeHacked
Злом моста KelpDAO: Технічний аналіз та вплив на індустрію
18 квітня 2026 року міст rsETH між ланцюгами KelpDAO зазнав найбільшого злому DeFi у 2026 році, внаслідок якого зловмисники вивели приблизно 116 500 rsETH, оцінюваних приблизно у $292 мільйонів. Інцидент становить близько 18% від загального обігу rsETH і спричинив каскадні ефекти у всій екосистемі DeFi.
Аналіз вектору атаки
Злом був здійснений за допомогою складної багатоступеневої атаки, спрямованої на інфраструктуру LayerZero. Зловмисники спочатку зламали два незалежні RPC-ноді, керовані LayerZero Labs, замінивши легітимні бінарні файли op-geth на шкідливі версії. Ці заражені ноди були спеціально налаштовані для обману мережі децентралізованих перевіряльних вузлів LayerZero (DVN), при цьому зберігаючи правдиві відповіді для інших систем моніторингу, ефективно уникаючи виявлення.
Послідовність атаки включала скоординований DDoS-удар по третьому чистому RPC-ноді, що змусило DVN перейти на зламану інфраструктуру. Конфігурація моста KelpDAO використовувала схему 1 з 1 DVN, тобто для підтвердження міжланцюгових повідомлень потрібен був лише DVN LayerZero Labs. Заражені ноди успішно підтвердили сфабриковану транзакцію спалювання на Unichain, яку relay-система EndpointV2 передала до OFT-адаптера KelpDAO, що спричинило несанкціонований випуск резервів основної мережі.
Після зламу зловмисник систематично відмивав викрадені rsETH через кілька гаманців, депонуючи кошти як заставу на ринках Aave V3 у мережах Ethereum та Arbitrum. Зловмисник отримав приблизно 75 700 WETH в Ethereum та 30 800 WETH в Arbitrum, досягнувши коефіцієнта позики до вартості близько 99%, перш ніж протокол зупинив подальше позичання.
Атрибуція та профіль зловмисника
Фахівці з безпеки та аналітики блокчейну приписують атаку групі Lazarus з Північної Кореї, зокрема кластеру TraderTraitor. Характеристики операцій відповідають задокументованим методам Lazarus: терплячі тактики вторгнення, маніпуляції з довіреною інфраструктурою та складні механізми пригнічення виявлення. Зловмисне програмне забезпечення після зламу самостійно знищило себе, систематично стираючи сліди слідчих доказів з компрометованих систем.
Реакція протоколу та обмеження
Aave відповів протягом кількох годин, заморозивши ринки rsETH у версіях V3 та V4, включно з інтеграцією SparkLend. На даний момент протокол має приблизно $177 мільйонів у поганому боргу, переважно зосередженого в Arbitrum. Загальна заблокована вартість у екосистемі Aave знизилася з $26 мільярдів до $18 мільярдів, що становить виведення капіталу на суму від 8 до 14 мільярдів доларів.
Поширення інциденту вийшло за межі Aave: понад 15 протоколів запровадили екстрені паузи мостів. Пули WETH зазнали 100% використання, що створює додаткові ризики ліквідації для позичальників з підвищеним плечем. KelpDAO заблокував адреси зловмисників і стверджує, що запобіг ще одному $95 мільйону у спробах подальших атак.
Спірний аналіз кореневої причини
Має місце суттєвий спір між KelpDAO та LayerZero щодо основної відповідальності. LayerZero стверджує, що конфігурація 1 з 1 DVN у KelpDAO відхиляється від рекомендованих практик безпеки, наголошуючи, що сам протокол не містив вразливостей і що інцидент був ізольований до інфраструктури rsETH. LayerZero пізніше виправив уразливі системи DVN та RPC.
KelpDAO заперечує, що стандартна документація та швидкий старт LayerZero рекомендували схему 1 з 1, і стверджує, що відповідальність за безпеку RPC-нод лежить на провайдері інфраструктури. Обидві сторони погоджуються, що уразливості смарт-контрактів не були використані; корінь проблеми — у довірчих припущеннях щодо одноточкових відмов.
Вплив на безпеку DeFi
Інцидент виявляє критичні вразливості у архітектурі міжланцюгових мостів, зокрема щодо безпеки RPC-інфраструктури. RPC-ноді стали системним слабким місцем, оскільки більшість протоколів покладаються на обмежену кількість провайдерів без достатньої диверсифікації відмов. Злом демонструє, що навіть складні системи багатопідпису та верифікації можна зламати, якщо джерела даних зламані.
Аналітики рекомендують негайно впровадити конфігурації з кількома DVN, диверсифіковані мережі RPC-провайдерів та системи аудиту конфігурацій у реальному часі. Модульна архітектура безпеки LayerZero обмежила радіус ураження саме rsETH, без впливу інших OFT або OApp контрактів, що свідчить про здатність системи зберігати стійкість навіть під час цілеспрямованих атак на інфраструктуру.
Поточний стан та зусилля з відновлення
Голосування в Aave наразі обговорює механізми соціалізації боргу для вирішення ситуації з поганим боргом. KelpDAO, LayerZero та Aave створили канали координації для операцій відновлення. Колектив безпеки блокчейну Seal-911 активно відслідковує рухи коштів, частина викрадених активів проходить через Tornado Cash та інші протоколи маскування. Канали переговорів з хакерами залишаються відкритими, хоча підтверджень відновлення станом на час написання немає.
Злом встановлює новий рекорд для DeFi-хаків 2026 року, перевищуючи інцидент з Drift Protocol на суму $285 мільйонів від 1 квітня. Інцидент підсилює постійні побоювання щодо безпеки мостів як основного вектору атак у DeFi, а міжланцюгова інфраструктура залишається найгарячішою точкою безпеки в екосистемі.
#KelpDAO #DeFiSecurity #BridgeExploit #CryptoNews

#CryptoMarketSeesVolatility Злом Drift Protocol: управління DeFi під ударом
Криптовалютний ринок отримав різке нагадування у квітні 2026 року: ризик DeFi більше не обмежується смарт-контрактами; управління тепер є основною вразливістю. Drift Protocol, одна з найбільших платформ деривативів на Solana, зазнала руйнівної експлуатації, яка зняла приблизно $285 мільйонів доларів. Спочатку її сприймали як жарт на 1 квітня, але швидко з’ясувалося, що це складне адміністративне захоплення, що стало найбільшим злом у криптовалюті 2026 року і одним із найважливіших інцидентів у історії DeFi на Solana.
Це був не просто вразливий код. Зловмисник використав довговічні транзакції з нонсом Solana і зламав схвалення підписувачів, щоб захопити повноваження Ради безпеки, обійти захисти виведення, послабити контроль над сейфами та зняти основні активи, включаючи USDC, SOL, обгорнутий BTC і заставні кошти. За повідомленнями, підготовка тривала від кількох днів до тижнів, що підкреслює стратегічну глибину та операційну складність атаки.
Перед зломом Drift тримав майже $550 мільйонів у TVL, що свідчить про сильну ліквідність і довіру ринку. Негайна реакція ринку була різкою: токен DRIFT обвалився, депозити та виведення були призупинені, а загальна заблокована вартість швидко зменшилася через вихід ліквідності з екосистеми.
Цей інцидент підкреслює важливий урок для всіх учасників DeFi: безпека людського рівня часто є більш крихкою, ніж сам код. Навіть надійні багатопідписні системи зазнають невдачі, якщо підписувачі зламані через соціальну інженерію або процедурні недоліки. Функції, спрямовані на підвищення надійності, такі як затримані транзакції, можуть бути використані як зброя при поєднанні з компрометованим адміністративним доступом.
Для користувачів DeFi першочерговим завданням має бути уникнення нових депозитів, аудит і відкликання непотрібних дозволів на гаманці, забезпечення активів у ізольованих гаманцях і суворе дотримання офіційних оновлень протоколу.
Для ширшої екосистеми DeFi крах Drift піднімає термінові питання щодо управління: наскільки безконтрольні багатопідписні механізми? Чи можна знову зловживати механізмами затримки транзакцій? Як має розвиватися управління доступом адміністратора та управління ключами, щоб запобігти подібним атакам? Цей злом може прискорити впровадження апаратних ключів, більш жорсткої ізоляції підписувачів, автоматичних аварійних механізмів управління та прозорого адміністративного контролю.
Drift Protocol тепер більше ніж новинна історія; це кейс-стаді для 2026 року, що підкреслює, що операційна безпека та управління тепер так само важливі, як цілісність коду. Трейдери, розробники і дизайнери протоколів повинні усвідомити: довіра до людей — це нова вразливість. Учасники DeFi, які не адаптуються, ризикують витратами, капіталом і довірою ринку.
#DriftProtocolHacked #DeFiSecurity #SolanaDeFi #BlockchainStrategy #CryptoTradingInsights