Команда протоколу ліквідного рестейкінгу KelpDAO оприлюднила заяву, у якій звинуватила LayerZero у причетності до одного з найбільших інцидентів у сфері децентралізованих фінансів (DeFi) у 2026 році — злому мосту rsETH на понад $290 млн. KelpDAO спростував висновки LayerZero, стверджуючи, що основною причиною атаки стала компрометація інфраструктури LayerZero, а не помилки конфігурації з боку Kelp.
Про це розповідає UBB
Спір між проєктами виник через модель верифікації 1-of-1 DVN, яку LayerZero після атаки визнала вразливою, хоча раніше сама її схвалювала.
Стандартизація конфігурації
KelpDAO запевняє, що використовував стандартну конфігурацію, рекомендовану LayerZero, і неодноразово узгоджував її з командою проєкту. У відповідній заяві наголошується, що представники LayerZero підтвердили безпечність такого підходу:
«Це Telegram-листування з членом команди LayerZero Labs, який не лише знав про конфігурацію 1-1 DVN, але й прямо її схвалив».
Однак після атаки LayerZero змінила свою позицію, стверджуючи, що саме ця конфігурація призвела до злому. У відповідь KelpDAO зазначив:
«LayerZero звинуватила своїх користувачів у проблемі, яка була спричинена їхньою власною інфраструктурною помилкою».
Аналітики підтверджують, що модель 1-1 DVN була загальноприйнятою:
- близько 47% OApp-контрактів LayerZero використовували 1-1 DVN;
- понад 120 протоколів працювали з цією конфігурацією;
- близько 90% повідомлень перевірялися лише одним або двома DVN.
Деталі атаки
Атака, що сталася 18 квітня 2026 року, за даними KelpDAO та незалежних дослідників, була спрямована не на смартконтракти, а на інфраструктуру LayerZero. Ключові деталі інциденту включають:
- компрометацію RPC-вузлів, які використовувалися DVN;
- атака типу RPC-спуфінг;
- підписання фальшивих транзакцій на понад $100 млн (частину вдалося заблокувати);
- загальні втрати склали близько $292 млн.
LayerZero підтвердив факт компрометації частини інфраструктури, проте незалежні експерти не погоджуються з такою оцінкою:
«Атака LayerZero не була отруєнням RPC […] це був злом інфраструктури всередині периметра».
KelpDAO також підкреслив, що саме вона першою виявила проблему і зупинила контракти.
Наслідки атаки для ринку
Атака на KelpDAO стала однією з найзначніших у 2026 році і викликала ланцюгову реакцію в індустрії. Згідно з даними LayerZero, до атаки може бути причетне північнокорейське угруповання Lazarus Group.
Частину коштів вдалося заблокувати, зокрема, мережа Arbitrum заморозила активи на суму близько $71 млн, які стали предметом судового спору за участю Aave.
Водночас зловмисники вже встигли відмити значну частину активів: близько 34 500 ETH ($80 млн) було виведено через THORChain.
Перехід на Chainlink
Після інциденту KelpDAO оголосив про відмову від інфраструктури LayerZero та перехід на Chainlink CCIP. У заяві підкреслюється:
«Ми переходимо до використання перевіреної інфраструктури та мінімізуємо довіру до зовнішніх залежностей».
Chainlink, за словами команди, вже обробив понад $30 трлн обсягу і залишався стабільним навіть під час глобальних збоїв. Паралельно в індустрії виникають питання безпеки, включаючи централізацію DVN та відсутність своєчасного моніторингу атак.
KelpDAO також поставив низку запитань до LayerZero, зокрема щодо способу компрометації інфраструктури та причин, чому система не виявила атаку раніше.