- Автор темы
- #1
Эксперты считают, что северокорейские хакеры из группы Lazarus стоят за крупным криптоограблением: у DeFi-проекта KelpDAO украли около 290 млн долларов США в токенах rsETH. Этот инцидент также затронул лендинговые протоколы Aave, Compound и Euler.
KelpDAO — DeFi-проект, построенный вокруг ликвидного рестейкинга в сети Ethereum. Пользователи вносят ETH, проект направляет их в рестейкинг, а взамен выдает токен rsETH, отражающий долю владельца. Этот токен можно использовать в других DeFi-протоколах, в том числе кроссчейн (через LayerZero).
В прошлые выходные, 18 апреля 2026 года, в KelpDAO была замечена «подозрительная кроссчейн-активность» с участием rsETH, из-за чего были приостановлены контракты rsETH в основной сети Ethereum и на L2. К расследованию инцидента подключились специалисты LayerZero, Unichain, блокчейн-аналитик ZachXBT и другие.
По данным аналитиков, злоумышленники похитили около 116 500 rsETH (примерно 292–293 млн долларов США) и пропустили средства через миксер Tornado Cash, чтобы скрыть следы.
Как пояснили в LayerZero, атакующие нацелились на верификационный слой (DVN), который используется для валидации кроссчейн-сообщений rsETH. Они скомпрометировали ряд RPC-нод, через которые работает верификатор, внедрив фальсифицированные блокчейн-данные.
Одновременно с этим хакеры провели DDoS-атаку на «здоровые» RPC-ноды, чтобы система была вынуждена полагаться на «отравленные». В итоге фальшивое кроссчейн-сообщение прошло валидацию, система подтвердила несуществующие транзакции, и злоумышленники смогли вывести rsETH.
Украденные 116 500 rsETH составляют примерно 18% от общего оборотного предложения токена (по данным CoinGecko, оценивается в 630 000 токенов). Сам rsETH развернут более чем в 20 сетях, включая Base, Arbitrum, Linea, Blast, Mantle и Scroll.
На основании предварительного анализа индикаторов атаки специалисты LayerZero полагают, что за ограблением может стоять северокорейская хак-группа Lazarus, а точнее — ее подразделение TraderTraitor. Эксперты подчеркивают, что инцидент затронул исключительно rsETH и не распространился на другие приложения или активы.
После атаки цена токена AAVE снизилась примерно на 10%. В Aave заморозили рынки rsETH в версиях V3 и V4, заблокировав новые внесения и займы под залог rsETH. Представители проекта заявили, что эксплоит был связан с rsETH, а не со смарт-контрактами самого Aave, и пообещали «изучить возможности для покрытия дефицита», если потребуется.
Стоит отметить, что для KelpDAO это уже второй киберинцидент за год. В апреле 2025 года проект приостанавливал внесения и выводы средств из-за бага в контракте комиссий, который вызвал избыточный минтинг rsETH. Тогда средства пользователей не пострадали.
KelpDAO — DeFi-проект, построенный вокруг ликвидного рестейкинга в сети Ethereum. Пользователи вносят ETH, проект направляет их в рестейкинг, а взамен выдает токен rsETH, отражающий долю владельца. Этот токен можно использовать в других DeFi-протоколах, в том числе кроссчейн (через LayerZero).
В прошлые выходные, 18 апреля 2026 года, в KelpDAO была замечена «подозрительная кроссчейн-активность» с участием rsETH, из-за чего были приостановлены контракты rsETH в основной сети Ethereum и на L2. К расследованию инцидента подключились специалисты LayerZero, Unichain, блокчейн-аналитик ZachXBT и другие.
По данным аналитиков, злоумышленники похитили около 116 500 rsETH (примерно 292–293 млн долларов США) и пропустили средства через миксер Tornado Cash, чтобы скрыть следы.
Как пояснили в LayerZero, атакующие нацелились на верификационный слой (DVN), который используется для валидации кроссчейн-сообщений rsETH. Они скомпрометировали ряд RPC-нод, через которые работает верификатор, внедрив фальсифицированные блокчейн-данные.
Одновременно с этим хакеры провели DDoS-атаку на «здоровые» RPC-ноды, чтобы система была вынуждена полагаться на «отравленные». В итоге фальшивое кроссчейн-сообщение прошло валидацию, система подтвердила несуществующие транзакции, и злоумышленники смогли вывести rsETH.
Украденные 116 500 rsETH составляют примерно 18% от общего оборотного предложения токена (по данным CoinGecko, оценивается в 630 000 токенов). Сам rsETH развернут более чем в 20 сетях, включая Base, Arbitrum, Linea, Blast, Mantle и Scroll.
На основании предварительного анализа индикаторов атаки специалисты LayerZero полагают, что за ограблением может стоять северокорейская хак-группа Lazarus, а точнее — ее подразделение TraderTraitor. Эксперты подчеркивают, что инцидент затронул исключительно rsETH и не распространился на другие приложения или активы.
После атаки цена токена AAVE снизилась примерно на 10%. В Aave заморозили рынки rsETH в версиях V3 и V4, заблокировав новые внесения и займы под залог rsETH. Представители проекта заявили, что эксплоит был связан с rsETH, а не со смарт-контрактами самого Aave, и пообещали «изучить возможности для покрытия дефицита», если потребуется.
Стоит отметить, что для KelpDAO это уже второй киберинцидент за год. В апреле 2025 года проект приостанавливал внесения и выводы средств из-за бага в контракте комиссий, который вызвал избыточный минтинг rsETH. Тогда средства пользователей не пострадали.