Протокол: Kelp DAO піддався експлуатації на суму 292 мільйони доларів

Новини мережі

ЕКСПЛУАТАЦІЯ KELP DAO: Міжланцюговий міст, який утримує майже п’яту частину циркулюючої пропозиції токенів restaked ether, щойно був спустошений, і наслідки цього інциденту поширюються у DeFi швидше, ніж Kelp DAO встигає призупинити контракти. Зловмисник вивели 116 500 rsETH (рестейканого ефіру) з Kelp DAO Міст на базі LayerZero о 17:35 UTC у вихідні дні був атакований, сума виведених коштів становила приблизно $292 мільйони за поточними цінами, що становить близько 18% від обігової пропозиції токенів rsETH у кількості 630,000, яку відслідковує CoinGecko. LayerZero — це міжмережевий протокол обміну повідомленнями, або інфраструктура, яка дозволяє різним блокчейнам надсилати один одному підтверджені інструкції. Kelp DAO є протоколом ліквідного рестейкінгу, який приймає ETH, внесені користувачами, направляє їх через EigenLayer для отримання додаткового доходу поверх стандартних винагород Ethereum за стейкінг, та видає rsETH як торгівельну квитанцію. Міст, який було спустошено, утримував резерв rsETH, що підтримував обгорнуті версії токена, розгорнуті більш ніж на 20 інших блокчейнах. Зловмисник обдурив міжмережевий протокол повідомлень LayerZero, змусивши його повірити, що дійсна інструкція надійшла з іншої мережі, що спровокувало міст Kelp випустити 116,500 rsETH на адресу, контрольовану нападником. Мультипідпис екстреного паузера Kelp заморозив основні контракти протоколу через 46 хвилин після успішного виводу, о 18:21 UTC. Два подальші спроби о 18:26 UTC та 18:28 UTC обидві були відхилені, кожна мала в собі той самий пакет LayerZero, який намагався знову вивести 40,000 rsETH приблизною вартістю $100 мільйонів. — Шауря Малва Читати далі.

СХЕМА КРИПТОЗЛОЧИНІВ ПІВДЕННОЇ КОРЕЇ: Менше ніж за три тижні після того, як хакери, пов’язані з Північною Кореєю, використали соціальну інженерію для криптовалютна торговельна компанія Drift, хакери, пов’язані з певною країною, схоже, здійснили ще одну масштабну атаку на Kelp. Атака на Kelp, протокол рестейкінгу, інтегрований у крос-чейн інфраструктуру LayerZero, свідчить про еволюцію в методах роботи хакерів, пов’язаних із Північною Кореєю, шукаємо не лише помилки або викрадені облікові дані, але експлуатуючи базові припущення, закладені в децентралізовані системи. Разом ці два інциденти вказують на щось більш організоване, ніж низка поодиноких атак, оскільки Північна Корея продовжує посилювати свої зусилля щодо викрадення коштів із криптосектору. «Це не серія інцидентів; це постійний процес», — заявив Олександр Урбеліс, головний офіцер з інформаційної безпеки та генеральний юридичний радник ENS Labs. «Ви не можете впоратися з графіком закупівель, просто виправляючи помилки». Понад 500 мільйонів доларів було виведено внаслідок експлойтів Drift та Kelp за трохи більше ніж два тижні. По суті, експлойт Kelp не передбачав зламу шифрування або ключів. Система насправді працювала так, як її було розроблено. Замість цього зловмисники маніпулювали даними, що надходили в систему, і змусили її покладатися на ці скомпрометовані вхідні дані, через що систему змусили схвалювати транзакції, які фактично ніколи не відбувалися. — Марго Нейкерк Читати далі.

AAVE ПОСТРАЖДАЛО ВНАСЛІДОК ЗЛОМУ KELP DAO: Зловмисник скористався цією схемою, підробивши повідомлення про трансфер, яке здавалося дійсним. Система затвердила трансфер, хоча токени ніколи не були вилучені з ланцюга відправника, що означає ефективне створення нових токенів без підтримки, випустивши 116 500 rsETH з мосту на стороні Ethereum. Замість того, щоб продавати активи на відкритому ринку, зловмисник внес 89 567 rsETH як заставу в Aave і взяв в борг приблизно 190 мільйонів доларів у ETH та пов’язаних активах у мережах Ethereum та Arbitrum, згідно з доповіддю. Це залишило Aave відкритою до ризику застави, основи якої можуть бути значно порушені. Aave Labs заявила, що швидко вжила заходів для обмеження ризику. Протягом кількох годин протокол заморозив ринки rsETH у всіх своїх розгортаннях, встановив співвідношення кредиту до вартості на нуль і припинив нові позики під цей актив. Результат тепер в значній мірі залежить від того, як Kelp впорається з дефіцитом. Якщо збитки будуть розподілені серед усіх власників rsETH, токен зазнає приблизно 15% девальвації (що означає, що вартість заблокованих токенів не відповідатиме вартості реального ETH), що призведе до приблизно 124 мільйонів доларів проблемних боргів для Aave. Якщо ж збитки будуть ізольовані на мережах другого рівня, вплив буде набагато серйознішим, а проблемні борги зростуть приблизно до 230 мільйонів доларів і зосередяться на мережах, таких як Arbitrum та Mantle.— Марго Нейкерк Читати далі.

COINBASE ЗАВАНТАЖУЄ ДОСЛІДЖЕННЯ ЩОДО РИЗИКІВ КВАНТОВИХ ОБЧИСЛЕНЬ: Новий звіт, замовлений Coinbase, лунає як обережна, але невідкладна тривога: квантові комп’ютери не зламають криптовалюту завтра, але індустрія не може дозволити собі чекати. 50-сторінковий документ, автором якого є незалежна консультативна рада, що включає видатних криптографів та академіків, таких як Ден Боне з Стенфордського університету, Джастін Дрейк з Фонду Ethereum та Срірам Каннан з Eigen Labs, дійшов висновку, що хоча сьогоднішні блокчейни залишаються безпечними, майбутній «толерантний до помилок квантовий комп’ютер», здатний зламати широко використовуване шифрування, стає дедалі більш імовірним, і підготовка має розпочатися вже зараз. Останніми місяцями занепокоєння щодо квантових ризиків вийшли на більш широке коло обговорень. Дослідники Google оприлюднили оцінки, що свідчать про те, що достатньо розвинений квантовий комп’ютер одного дня зможе зламати криптографію Bitcoin. Основні криптоекосистеми вже почали розробляти свої стратегії реагування. Фонд Ethereum запропонував нові типи цифрових підписів, які розроблені для захисту від квантових комп’ютерів, у той час як Solana та інші експериментують із дизайном гаманців, стійких до квантових загроз. У звіті наголошується, що нинішні квантові машини далеко не достатньо потужні, щоб зламати криптографію, яка лежить в основі Bitcoin, Ethereum та інших мереж. Злам стандартного шифрування вимагав би значних обчислювальних ресурсів, і це завдання досі вважається серйозним інженерним викликом. — Марго Нейкерк Читати далі.

В інших новинах

• Частина здобичі Kelp DAO більше нікуди не подінеться. Рада безпеки Arbitrum заморозив 30 766 ETH загальною вартістю приблизно $71 мільйон у понеділок увечері, переміщуючи кошти, пов’язані з експлуатацією rsETH на суму 292 мільйони доларів у суботу, до проміжного гаманця, до якого можна отримати доступ лише через подальші дії управлінської ради Arbitrum. Рада повідомила, що діяла на підставі інформації правоохоронних органів щодо особи зловмисника та здійснила заморожування «без жодного впливу на користувачів або додатки Arbitrum». Трансфер було завершено о 23:26 за східним часом 20 квітня, згідно з заявою Arbitrum у X. Викрадені кошти більше не перебувають під контролем адреси, яка їх спочатку тримала. — Шауря Малва Читати далі.
• A Контракт Polymarket щодо того, чи поширить Kelp DAO збитки від викрадення $292 мільйонів у вихідні на тих, хто не був безпосередньо уражений, вказує на очевидну відповідь: ймовірно, ні. Ставки дають 14% шанс, що Kelp "соціалізує збитки" або впровадить механізм, який змусить власників rsETH в Ethereum, який не постраждав, розділити біль користувачів на інших ланцюгах. Зловмисники вивели близько 116 500 rsETH з моста на базі LayerZero, який утримував резерви, що забезпечували токен на понад 20 блокчейнах. Це призвело до недостатньої забезпеченості частин системи, при чому деякі власники фактично володіли токенами, які більше не були повністю забезпечені ефіром (ETH). «Соціалізація втрат» означатиме, що Kelp перерасподіляє дефіцит серед усіх власників rsETH, включаючи тих, хто на основній мережі Ethereum, замість того, щоб залишати збитки сконцентрованими серед користувачів і протоколів, пов’язаних із скомпрометованим мостом. Найбільш поширеним прецедентом такого підходу став випадок у 2016 році, коли Bitfinex запровадив збитки для всіх користувачів після зловмисної атаки на суму 60 мільйонів доларів, фактично розподіляючи збитки для уникнення закриття. — Сем Рейнольдс Читати далі.

Регулювання та Політика

• Квітень, схоже, втрачені можливості для закону про криптоясність (crypto Clarity Act), проте слухання в комітеті Сенату США, заплановане на травень, може зберегти життєздатність цього важливого законодавчого акту щодо структури ринку, за умови, що він досягне фінального голосування у повному складі Сенату до липня, за словами лобістів та помічника законодавця, які стежать за повільним прогресом законопроєкту про структуру ринку. Законодавчий календар цього року майже заповнений, однак помічник сенату повідомив CoinDesk, що потенційне нове затримання на кілька тижнів — що дасть змогу республіканському сенатору Тому Тіллісу завершити обговорення з банкірами щодо занепокоєнь щодо прибутковості стейблкоїнів — ще не призведе до незворотного зволікання. Помічник також зазначив, що попередні переговори стосовно захисту децентралізованих фінансів (DeFi) фактично завершені, залишаючи небагато інших перешкод на шляху до затвердження комітетом. Однією з головних проблем, з якою стикається криптоіндустрія (якщо вдасться подолати вперту перешкоду у вигляді заперечень банківського сектору щодо винагород за стейблкоїни), є те, що слухання в Банківському комітеті Сенату, яке законопроєкт має пройти, буде лише першим із багатьох кроків. — Джессі Гамільтон Читати далі.
• Творець Tron Джастін Сан у вівторок подав до суду на World Liberty Financial, стаблкоїн та криптофірму, яку підтримують члени родини президента США Дональда Трампа, звинувативши проект у неправомірному блокуванні його володінь $WLFI, шахрайських оманах, а також у погрозах і наклепах на Санa. Поданий позов, у якому йдеться про підтримку Саном самого Трампа, стверджувалося, що керівництво World Liberty брало участь у «незаконній схемі захоплення майна» у вигляді токенів Сана, які, як стверджував Сан, він придбав після того, як команда World Liberty звернулася до нього у 2024 році. «У той вирішальний для World Liberty момент пан Сан інвестував 45 мільйонів доларів у покупку токенів $WLFI у World Liberty не лише через твердження про те, що проєкт сприятиме впровадженню децентралізованих фінансів — питання, яке пан Сан дуже цінує і якому він присвятив значну частину своєї діяльності, — а й через асоціацію сім’ї Трампа з проєктом», — йдеться у позові.— Ніхілеш Де та Сем Рейнольдс Читати далі.

Календар

• 5-7 травня 2026 року: Консенсус, Маямі
• 2-3 червня 2026 року: Доказ розмови, Париж
• 8-10 червня 2026 року: ETHConf, Нью-Йорк
• 29 вересня – 1 жовтня 2026 року: Тиждень блокчейну Кореї, Сеул
• 7-8 жовтня 2026 року: Token2049, Сінгапур
• 3-6 листопада 2026 року: Devcon, Мумбаї
• 15-17 листопада 2026 року: Solana Breakpoint, Лондон