🚨 Взлом Kelp DAO: не баг в смарт-контракте, а ошибка в инфраструктуре

• Instagram
• Telegram
• ВКонтакте

Инцидент с Kelp DAO стал показателем новой категории рисков в DeFi — уязвимости на уровне инфраструктуры, а не кода. Ранее компания Halborn уже предупреждала о проблемной конфигурации, но изменения внесены не были. В результате образовалась критическая точка отказа.

Атака была реализована через манипуляцию узлами RPC. Злоумышленники скомпрометировали два узла, подающие данные в систему верификации, и одновременно перегрузили резервные узлы через DDoS. Это вынудило систему работать в уязвимом режиме. В этот момент была внедрена поддельная транзакция, позволившая выпустить 116,500 rsETH без обеспечения — около 18% предложения.

По данным LayerZero, атака может быть связана с группировкой Lazarus Group, однако подтверждения пока нет. Важно, что сам взлом не требовал компрометации смарт-контрактов — использовалась логика взаимодействия компонентов системы.

Проблема быстро распространилась по рынку. Необеспеченный rsETH был использован как залог в протоколах вроде Aave, SparkLend и Fluid. Это создало цепную реакцию: актив с риском стал основой для кредитования. В результате возник “эффект заражения”, где один уязвимый актив начал генерировать системный риск.

Атакующий вывел ликвидность через заёмные позиции и обменял активы в ETH и Arbitrum. Для сокрытия следов использовался Tornado Cash. При этом эксперты отмечают, что инструменты работали корректно — проблема была именно в конфигурации системы.

Последствия отразились на всём рынке. За 48 часов DeFi потерял около $13 млрд TVL, что опустило показатель до годового минимума. Даже протоколы без прямого участия, такие как Compound, столкнулись с оттоком средств из-за общего падения доверия.

Наибольший удар пришёлся на Aave. Протокол заморозил рынки rsETH, а TVL упал с $26.4 млрд до примерно $18 млрд. Давление сохраняется, а дальнейшие потери зависят от объёма невозвращённых средств.

Сейчас рынок следит за двумя ключевыми факторами: отчётом по инциденту от Kelp DAO и решением проблемы bad debt в Aave. Параллельно Совет безопасности Arbitrum уже заморозил около $71 млн средств злоумышленника, что может частично снизить ущерб.

Изучайте больше о мире криптовалют, инвестировании и трейдинге в академии Cryptemic.

Главный вывод — риск в DeFi смещается. Уязвимости всё чаще возникают не в коде, а в связке инфраструктуры, ораклов и конфигурации. Это делает систему сложнее и повышает требования к архитектуре безопасности.

• 🎬 “Finding Satoshi”: новая версия происхождения Bitcoin меняет правила игры
• 📊 Outset Media Index: попытка навести порядок в хаосе crypto PR
• 🇬🇧 FCA выходит “в поле”: первый силовой удар по P2P-крипторынку в Великобритании
• 🚨 Взлом Kelp DAO: не баг в смарт-контракте, а ошибка в инфраструктуре
• 📧 Gmail становится AI-ассистентом: Google встраивает AI Overviews в рабочую почту