У блокчейн-проекта KelpDAO украли $290 млн
3 мин
14
Проект децентрализованных финансов (Decentralized Finance, DeFi) KelpDAO потерял $290 млн в результате кибератаки, которая произошла 18 апреля 2026 года. По предварительным данным, за кражей стоят северокорейские хакеры из группировки Lazarus. Атака затронула не только KelpDAO, но и протоколы кредитования Compound, Euler и Aave. Последний заморозил операции и запретил новые депозиты и заимствования с использованием токена rsETH в качестве залога.
KelpDAO представляет собой децентрализованный финансовый проект на базе Ethereum (ETH). Сервис работает по принципу ликвидного рестейкинга. Проект принимает ETH от пользователей, делает повторную ставку и выдаёт взамен ликвидный токен rsETH, который позволяет зарабатывать на рестейкинге и одновременно использовать его в DeFi-экосистеме. Токен также работает для межсетевых операций через протокол LayerZero, обеспечивающий взаимодействие между разными блокчейнами.
Специалисты KelpDAO обнаружили подозрительную межсетевую активность с токеном rsETH и приостановили работу смарт-контрактов в основной сети Ethereum и решениях второго уровня. Анализ блокчейна показал, что злоумышленники украли 116 500 токенов rsETH. В долларовом эквиваленте сумма составила примерно $290 млн. Украденные средства провели через сервис Tornado Cash, чтобы скрыть следы.
Хакеры нацелились на уровень верификации, который отвечает за проверку межсетевых сообщений для rsETH. Злоумышленники скомпрометировали RPC-ноды, которые использует верификатор, и подавали ему поддельные данные блокчейна. Одновременно они проводили DDoS-атаку на исправные ноды, чтобы система полагалась только на скомпрометированные узлы.
Эта схема позволила принять фальшивое межсетевое сообщение за настоящее. Система подтвердила транзакции, которых фактически не было в блокчейне, и дала возможность вывести токены без авторизации.
Специалисты кибербеза сообщили, что предварительные индикаторы указывают на высококвалифицированную хакерскую группу, предположительно Lazarus из КНДР, а конкретно подгруппу TraderTraitor. При этом инцидент затронул только токен rsETH и не распространился на другие приложения или активы.
Кража из KelpDAO стала одной из крупнейших в 2026 году по объёму украденных средств. Группировка Lazarus также подозревается в другой крупной краже. Она составила $280 млн из протокола Drift. Отчёт по тому инциденту показал, что атака была результатом тщательно спланированной шестимесячной операции. Злоумышленники посещали конференции и внесли в проект депозиты на $1 млн.
