Взлом DeFi на $292 млн: хакеры вывели средства через мост rsETH Kelp DAO, затронут Aave

19 апреля (по пекинскому времени) DeFi-сектор столкнулся с новой крупной атакой. Согласно ончейн-данным, около 01:35 был, предположительно, взломан контракт моста rsETH протокола Kelp DAO — второго по величине сервиса ликвидного стейкинга, использующего LayerZero. В результате утрачено 116"500 rsETH на сумму около $292 млн. Дальнейшее отслеживание транзакций показывает, что примерно за 10 часов до инцидента адрес злоумышленника получил стартовое финансирование 1 ETH от миксера Tornado Cash. После этого адрес вызвал функцию lzReceive в контракте LayerZero EndpointV2, что привело к переводу 116"500 rsETH с моста Kelp на другой адрес атакующего. Примерно через 2,5 часа Kelp DAO подтвердил атаку в X: "Ранее сегодня мы обнаружили подозрительную кроссчейн-активность, связанную с rsETH. В ходе расследования мы приостановили контракты rsETH в mainnet и на нескольких Layer2. Наши аудиторы тесно работают с экспертами по безопасности LayerZero и Unichain и внимательно мониторят ситуацию. Мы будем информировать о дальнейшем развитии событий — следите за нашими официальными каналами." После инцидента DeFi-проекты и команды безопасности начали разбор причин. В сообществе широко цитировали анализ D2 Finance: LayerZero Scan пометил удалённый endpoint как Kelp DAO, что указывает на происхождение сообщения из легитимно развёрнутого удалённого контракта Kelp; по этому пути ранее было зафиксировано 308 nonce-сообщений. Отсюда вывод: первопричиной мог стать компрометированный приватный ключ исходной цепи. Разработчик TinyHumans AI Стивен Энамакел добавил, что контракт защищён набором валидаторов 1/1 (DVN), то есть одной ошибочной транзакции валидатора достаточно, чтобы возникла проблема. Выход через Aave и риск bad debt Из-за ограниченной ликвидности rsETH на рынке злоумышленник, по сообщениям, выбрал схему выхода через кредитные протоколы: заложить rsETH и занять wETH, который торгуется заметно ликвиднее. По данным мониторинга PeckShield Alert, по состоянию на 04:30 сегодня украденный rsETH был внесён в Aave V3, Compound V3 и Euler, после чего были взяты крупные займы в WETH. Совокупный долг превысил $236 млн, из них на Aave приходится $196 млн, на Compound — $39,4 млн, на Euler — около $840"000. Aave оперативно заморозил рынок rsETH на Aave V3 и V4. Команда позднее заявила в X: "Контракты Aave не были скомпрометированы; атака связана с rsETH. Заморозка rsETH выполнена, чтобы предотвратить новые депозиты rsETH и заимствования под его залог, пока оценивается ситуация. Мы анализируем заимствования rsETH на Aave, произошедшие после атаки, и поделимся деталями как можно скорее." Затем Aave дополнил сообщение: "Если этот инцидент приведёт к bad debt протокола, мы рассмотрим способы покрыть дефицит." На момент публикации точный объём bad debt остаётся неизвестным. monetsupply.eth, стратегический руководитель Spark (прямого конкурента Aave), оценил, что при дисконте rsETH в 19% (соотношение похищенного объёма к общему предложению rsETH) Aave может столкнуться с bad debt свыше $100 млн из-за высокозакредитованных циклических стратегий. Основатель Aave Chan Initiative (ACI) Марк Целлер, представляющий управление экосистемой Aave (он ранее объявил об уходе из Aave в июле из-за разногласий по governance), высказал иную оценку. Вскоре после инцидента Целлер рекомендовал пользователям как можно быстрее вывести WETH из Aave V3, чтобы снизить риск потерь, и подтвердил, что рынки USDC и USDT на Aave не затронуты. На предположение о bad debt "на сотни миллионов" он ответил: "Значительно меньше этой цифры." Целлер также отметил, что пришло время проверить Umbrella в реальной производственной среде. Umbrella — автоматизированный модуль безопасности Aave, по сути резервный пул для покрытия bad debt: пользователи могут вносить активы ради повышенных стимулов, но пул принимает на себя потенциальные убытки при возникновении bad debt. По данным протокола Aave, в Umbrella сейчас доступно около $50 млн в WETH для покрытия возможных потерь по этому событию, но достаточно ли этого — пока неясно. На фоне новостей AAVE краткосрочно снижался почти на 10%, на момент написания торговался на уровне 104,6 USDT. Апрель: очередной инцидент на сотни миллионов Это не первый крупный взлом в апреле. 1 апреля в экосистеме Solana атаке подвергся деривативный торговый протокол Drift Protocol, потери оценивались до $280 млн. Drift Protocol после инцидента напрямую обвинил "северокорейских хакеров"; при этом такие организации, как Tether, пообещали $147,5 млн для компенсаций пользователям, что оставило надежду на частичное восстановление. Прошло чуть больше десяти дней — и произошла новая, ещё более масштабная атака. Риски DeFi усиливаются: с одной стороны — непрерывные взломы, с другой — новые угрозы безопасности, связанные с ИИ-системами вроде Mythos. Ранее пользователи обычно концентрировали средства в хорошо аудированных протоколах высшего уровня, но теперь косвенно пострадал даже Aave — один из наиболее доверенных рынком проектов. На этом фоне автор не рекомендует держать крупные суммы ончейн; при реальной необходимости следует диверсифицировать и изолировать позиции. На момент публикации многие детали инцидента остаются неясными. Odaily продолжит следить за развитием событий.