Протокол: Kelp DAO эксплуатирован на сумму 292 миллиона долларов

Новости сети

ЭКСПЛУАТАЦИЯ KELP DAO: Кросс-чейн мост, удерживающий почти пятую часть циркулирующего запаса рестейкнутых токенов эфира, только что был опустошён, и последствия распространяются по DeFi быстрее, чем Kelp DAO успевает приостанавливать контракты. Злоумышленник вывел 116 500 rsETH (рестейкнутого эфира) из Kelp DAO Мост на базе LayerZero в 17:35 UTC в выходные был выведен на сумму примерно $292 млн по текущим ценам и составлял около 18% от циркулирующего предложения токена rsETH в количестве 630 000, отслеживаемого CoinGecko. LayerZero — это межцепочечный коммуникационный слой, или инфраструктура, позволяющая различным блокчейнам отправлять друг другу проверенные инструкции. Kelp DAO — это протокол ликвидного повторного стейкинга, который принимает внесённый пользователями ETH, направляет его через EigenLayer для получения дополнительной прибыли поверх стандартных вознаграждений за стейкинг Ethereum и выпускает rsETH в качестве торгуемого квитанционного токена. Мост, который был опустошён, держал резерв rsETH, поддерживающий обёрнутые версии токена, развернутые на более чем 20 других блокчейнах. Злоумышленник обманул межцепочечный коммуникационный слой LayerZero, заставив его поверить, что от другой сети пришла действительная инструкция, что вызвало выпуск мосто́м Kelp 116 500 rsETH на адрес, контролируемый злоумышленником. Мультиподпись аварийного пауэра Kelp заморозила основные контракты протокола спустя 46 минут после успешного вывода средств — в 18:21 UTC. Две последующие попытки в 18:26 UTC и 18:28 UTC были отменены, каждая содержала тот же пакет LayerZero с попыткой повторного вывода 40 000 rsETH на сумму около $100 млн. — Шаурья Малва Читать далее.

ПЛАН КИБЕРКРАЖИ КРИПТОВАЛЮТЫ СЕВЕРНОЙ КОРЕИ: Меньше чем через три недели после того, как хакеры, связанные с Северной Кореей, использовали социальную инженерию для ударила крипто трейдинговая компания Drift, хакеры, связанные с данным государством, по-видимому, провели еще одну крупную атаку на Kelp. Взлом Kelp, протокола рестейкинга, интегрированного в кросс-чейн инфраструктуру LayerZero, свидетельствует о развитии методов работы хакеров, связанных с Северной Кореей, не только ищем ошибки или украденные учетные данные, но используя основные предположения, заложенные в децентрализованные системы. В совокупности, эти два инцидента указывает на нечто более организованное, чем ряд разовых взломов, поскольку Северная Корея продолжает наращивать усилия по похищению средств из криптосектора. «Это не серия инцидентов; это тенденция», — заявил Александр Урбелис, главный специалист по информационной безопасности и генеральный юрисконсульт ENS Labs. «Вы не можете исправить это с помощью патча в рамках графика закупок». Более 500 миллионов долларов было выведено в ходе атак на Drift и Kelp всего за чуть более двух недель. По своей сути, эксплойт Kelp не предполагал взлома шифрования или ключей. Система фактически работала так, как была задумана. Вместо этого злоумышленники манипулировали данными, подаваемыми в систему, и заставляли ее полагаться на эти скомпрометированные данные, что приводило к одобрению транзакций, которые на самом деле не происходили. — Марго Нейкерк Читать далее.

AAVE ПОСТРАДАЛ ОТ ВЗЛОМА KELP DAO: Злоумышленник использовал эту схему, подделав сообщение о переводе, которое казалось действительным. Система одобрила перевод, хотя токены никогда не выводились из отправляющей цепочки, что фактически означало создание новых токенов без обеспечения, выпустив 116 500 rsETH с моста на стороне Ethereum. Вместо того чтобы продавать активы на открытом рынке, злоумышленник внёс 89 567 rsETH в Aave в качестве залога и занял примерно 190 миллионов долларов в ETH и связанных активах на Ethereum и Arbitrum, согласно отчёту. Это оставило Aave уязвимым к залогу, обеспеченность которого может быть существенно подорвана. Aave Labs заявила, что быстро предприняла меры по ограничению риска. В течение нескольких часов протокол заморозил рынки rsETH во всех своих развертываниях, установил коэффициенты кредитования на ноль и приостановил новое заимствование под этот актив. Итог теперь во многом зависит от того, как Kelp справится с дефицитом. Если убытки будут распределены между всеми держателями rsETH, токен столкнётся с предполагаемым девальвированием примерно на 15% (что означает, что стоимость стейкинговых токенов не будет соответствовать стоимости реального ETH), что приведёт к примерно 124 миллионам долларов безнадёжной задолженности для Aave. Если же убытки будут ограничены сетями второго уровня, последствия будут гораздо серьёзнее: безнадёжная задолженность вырастет примерно до 230 миллионов долларов и будет сосредоточена в таких сетях, как Arbitrum и Mantle.— Марго Нейкерк Читать далее.

COINBASE ЗАКАЗАЛА ДОКЛАД О РИСКАХ КВАНТОВЫХ ВЫЧИСЛЕНИЙ: Новый доклад, подготовленный по заказу Coinbase, звучит как осторожная, но настоятельная тревога: квантовые вычисления не разрушат криптовалюту завтра, но индустрия не может позволить себе ждать. В 50-страничном документе, составленном независимым консультативным советом, в который входят известные криптографы и академики, такие как Дэн Боне из Стэнфордского университета, Джастин Дрейк из Фонда Ethereum и Шриирам Каннан из Eigen Labs, сделан вывод, что хотя сегодняшние блокчейны остаются защищёнными, будущий «устойчивый к ошибкам квантовый компьютер», способный взламывать широко используемое шифрование, становится всё более реальным, и подготовка должна начаться уже сейчас. В последние месяцы обеспокоенность по поводу квантового риска вышла на более широкий уровень. Исследователи Google опубликовали оценки, указывающие на то, что достаточно развитый квантовый компьютер однажды сможет взломать криптографию Биткоина. Крупнейшие криптоэкосистемы уже начали выстраивать свои стратегии реагирования. Фонд Ethereum предложил новые типы цифровых подписей, которые разработаны с учетом безопасности против квантовых компьютеров, в то время как Solana и другие экспериментируют с дизайнами кошельков, устойчивых к квантовым атакам. В отчёте подчёркивается, что современные квантовые машины далеко не достаточно мощны, чтобы взломать криптографию, лежащую в основе Bitcoin, Ethereum и других сетей. Для взлома стандартного шифрования потребуется огромная вычислительная мощность, что остаётся серьёзной инженерной задачей. — Марго Нейкерк Читать далее.

В Других Новостях

• Часть добычи Kelp DAO больше никуда не уйдет. Совет по безопасности Arbitrum заморозил 30 766 ETH на сумму примерно 71 миллион долларов в понедельник вечером были переведены средства, связанные с субботним эксплоитом rsETH на сумму 292 миллиона долларов, во вспомогательный кошелек, доступ к которому возможен только через дальнейшие действия по управлению Arbitrum. Совет заявил, что действовал на основании информации правоохранительных органов относительно личности злоумышленника и осуществил заморозку "без влияния на каких-либо пользователей или приложения Arbitrum." Перевод был завершен в 23:26 по восточному времени 20 апреля, согласно заявлению Arbitrum в X. Украденные средства больше не находятся под контролем адреса, который изначально их держал. — Шаурья Малва Читать далее.
• A Контракт Polymarket по вопросу о том, распространит ли Kelp DAO убытки от уязвимости на сумму 292 миллиона долларов за выходные помимо непосредственно пострадавших, указывает на ясный ответ: вероятно, нет. Игроки оценивают вероятность того, что Kelp «социализирует убытки», или внедрит механизм, заставляющий держателей rsETH на Ethereum, который не пострадал, разделить потери пользователей на других цепочках, на уровне 14%. Злоумышленники обчистили примерно 116 500 rsETH от моста на базе LayerZero, который хранил резервы, поддерживающие токен, более чем в 20 блокчейнах. Это привело к частичной недостаточной обеспеченности системы, при которой некоторые держатели фактически владели токенами, больше не полностью поддерживаемыми эфиром (ETH). «Социализация убытков» означала бы, что Kelp распределяет дефицит среди всех держателей rsETH, включая тех, кто находится в основной сети Ethereum, а не оставляет убытки сосредоточенными среди пользователей и протоколов, связанных с скомпрометированным мостом. Самым широко цитируемым прецедентом такого подхода стал 2016 год, когда Bitfinex понес убытки для всех пользователей после взлома на сумму 60 миллионов долларов, фактически взаимное распределение убытков для избежания закрытия. — Сэм Рейнолдс Читать далее.

Регулирование и политика

• Апрель кажется потерянным месяцем для закона о криптоясности, но слушания в комитете Сената США, запланированные на май, могут сохранить жизнеспособность этого критически важного законодательства по структуре рынка, при условии, что к июлю он сможет пройти окончательное голосование всего Сената, согласно лоббистам и помощнику законодателя, наблюдающим за медленным продвижением законопроекта о структуре рынка. Законодательный календарь на этот год заканчивается, но один из помощников Сената сообщил CoinDesk, что возможное новое отсрочка на пару недель — позволяющая республиканскому сенатору Тому Тиллисону завершить обсуждения с банкирами по вопросам доходности стейблкоинов — пока не приводит к тому, что работа над этим законопроектом выходит за пределы точки невозврата. Помощник также отметил, что предыдущие переговоры о защите децентрализованных финансов (DeFi) фактически завершены, оставляя мало других препятствий для одобрения комитетом. Одна из главных проблем, с которой сталкивается криптоиндустрия (если она сможет преодолеть упорное препятствие в виде возражений банковского сектора по поводу вознаграждений за стейблкоины), заключается в том, что слушания в Комитете по банковской деятельности Сената, которые законопроекту необходимо пройти, станут лишь первым из многих этапов. — Джесси Хэмилтон Читать далее.
• Создатель Tron Джастин Сан подал в суд на World Liberty Financial, компанию, занимающуюся стейблкоинами и криптовалютами, поддерживаемую членами семьи президента США Дональда Трампа, во вторник, утверждая, что проект незаконно заблокировал его активы в $WLFI, допустил мошеннические искажения, а также угрожал и дискредитировал Сана. Поданный иск, в котором содержится строка о поддержке Трампа самим Суном, утверждалось, что руководство World Liberty участвовало «в незаконной схеме по захвату собственности» в виде токенов Суна, которые, по словам Суна, он приобрёл после того, как команда World Liberty обратилась к нему в 2024 году. «В этот решающий для World Liberty момент г-н Сун инвестировал 45 миллионов долларов в покупку токенов $WLFI у World Liberty не только из-за заявлений проекта о том, что он будет способствовать внедрению децентрализованных финансов — вопросу, который г-н Сун глубоко заботит и которому он посвятил большую часть своей жизни, — но также из-за связи семьи Трампа с проектом», — говорится в иске.— Нихилеш Де и Сэм Рейнолдс Читать далее.

Календарь

• 5-7 мая 2026 года: Консенсус, Майами
• 2-3 июня 2026 года: Доказательство Разговора, Париж
• 8-10 июня 2026 года: ETHConf, Нью-Йорк
• 29 сентября - 1 октября 2026 года: Korea Blockchain Week, Сеул
• 7-8 октября 2026 г.: Token2049, Сингапур
• 3-6 ноября 2026 года: Devcon, Мумбай
• 15-17 ноября 2026 года: Solana Breakpoint, Лондон