Около 290 млн долларов США в токенах rsETH были похищены из DeFi-проекта KelpDAO в результате сложной кроссчейн-атаки. По предварительной оценке специалистов, за инцидентом могут стоять северокорейские хакеры из группы Lazarus, а именно подразделение TraderTraitor. Событие уже отразилось на ряде крупных протоколов, включая Aave, Compound и Euler, и стало одним из наиболее показательных кейсов по уязвимостям кроссчейн-инфраструктуры.
Что такое KelpDAO и rsETH: почему этот взлом так важен для рынка
KelpDAO — DeFi-проект, специализирующийся на ликвидном рестейкинге в сети Ethereum. Пользователь депонирует ETH, протокол отправляет его в рестейкинг, а взамен выдает деривативный токен rsETH, отражающий долю в стейкинге. Этот актив можно использовать как залог, участвовать в фарминге доходности и перемещать между сетями через кроссчейн-инфраструктуру, в том числе с использованием протокола LayerZero.
По данным аналитиков, злоумышленники вывели около 116 500 rsETH, что оценивается в 292–293 млн долларов и составляет примерно 18% от общего обращающегося предложения rsETH (около 630 000 токенов по данным CoinGecko). Токен развернут более чем в 20 сетях — от Base и Arbitrum до Mantle и Scroll, что делает подобный инцидент критичным не только для одного проекта, но и для всей экосистемы ликвидного рестейкинга.
Технические детали атаки: компрометация DVN и RPC-нод
Как хакеры обошли верификацию кроссчейн-сообщений
Ключевой целью атакующих стал верификационный слой (DVN, Decentralized Verification Network), который используется для проверки кроссчейн-сообщений, связанных с rsETH. Вместо прямого взлома смарт-контрактов применялась стратегия компрометации инфраструктуры: были захвачены или подменены данные нескольких RPC-нод, через которые DVN получал информацию о состоянии блокчейна.
Хакеры внедрили фальсифицированные блокчейн-данные на скомпрометированных RPC-серверах, а параллельно провели DDoS-атаку на «здоровые» ноды. В результате система верификации была вынуждена полагаться на «отравленные» источники. Это позволило провести и «подтвердить» поддельное кроссчейн-сообщение, после чего протокол трактовал фиктивные транзакции как легитимные и разрешил вывод крупного объема rsETH.
Трассировка средств и использование миксера Tornado Cash
После вывода активов злоумышленники начали отмывку, пропуская украденные токены через миксер Tornado Cash. Подобные сервисы «размывают» цепочку транзакций, смешивая средства многих пользователей, что значительно затрудняет блокчейн-аналитику и возврат активов. К расследованию уже подключились LayerZero, Unichain, независимый аналитик ZachXBT и другие исследователи.
Подозрения на Lazarus и TraderTraitor: почему эксперты указывают на КНДР
Специалисты LayerZero, опираясь на индикаторы компрометации (шаблоны инфраструктуры, поведение кошельков, используемые техники), предположили, что за атакой может стоять северокорейская группа Lazarus и ее подразделение TraderTraitor. Эти структуры ранее уже связывали с целой серией атак на криптобиржи и DeFi-проекты, при этом характерно использование сложных многоэтапных схем, комбинирующих социальную инженерию, эксплуатацию уязвимостей и атаки на инфраструктурный уровень.
Важно, что эксперты подчеркивают: эксплойт затронул только rsETH и связанный с ним кроссчейн-механизм. Другие смарт-контракты и активы экосистемы не были скомпрометированы, что еще раз указывает на точечный удар по верификационному слою, а не по протоколам кредитования как таковым.
Реакция DeFi-рынка: меры KelpDAO, Aave, Compound и Euler
Аномальная активность с участием rsETH была зафиксирована 18 апреля 2026 года. В ответ команды KelpDAO и партнерских проектов оперативно приостановили работу контрактов rsETH в основной сети Ethereum и на L2-решениях, стараясь локализовать ущерб и предотвратить дальнейшие несанкционированные операции.
Отдельно отреагировал протокол кредитования Aave: его команда заморозила рынки rsETH в версиях V3 и V4, заблокировав новые депозиты и займы под залог rsETH. Цена токена AAVE на фоне новостей просела примерно на 10%. Представители проекта заявили, что уязвимость связана именно с механикой rsETH, а не с их собственными смарт-контрактами, и пообещали изучить варианты покрытия возможного дефицита, если он сформируется.
Для KelpDAO это уже второй значимый инцидент за год: в апреле 2025 года проект временно блокировал ввод и вывод средств из-за бага в контракте комиссий, который спровоцировал избыточный минтинг rsETH. Тогда средства пользователей не пострадали, однако новый взлом ставит перед командой вопрос доверия и зрелости процессов безопасности.
Инцидент с KelpDAO наглядно демонстрирует, что кроссчейн-инфраструктура и RPC-слой сегодня — одни из главных точек риска в DeFi. Даже идеально аудированные смарт-контракты бесполезны, если верификационная сеть опирается на единичные или слабо защищенные источники данных. Для протоколов, работающих с ликвидным рестейкингом и кроссчейн-мостами, критично внедрять многослойную валидацию (несколько независимых провайдеров данных, криптографические доказательства, детектирование аномалий), усиливать мониторинг DDoS и регулярно проводить аудиты не только кода, но и всей инфраструктуры. Пользователям DeFi имеет смысл диверсифицировать риски, внимательно следить за новостями безопасности, ограничивать концентрацию активов в одном деривативе и периодически пересматривать собственные стратегии управления риском.
