20 апреля 2026 года LayerZero опубликовал официальный разбор взлома Kelp DAO на 292 миллиона долларов. Атрибуция однозначная: Lazarus Group, точнее подразделение TraderTraitor — та самая северокорейская киберструктура, стоящая за эксплойтом Bybit на $1,4 млрд в 2025 году. Однако в документе LayerZero перекладывает техническую ответственность на Kelp. Несколько часов спустя KelpDAO ответил публично.
LayerZero
Lazarus наносит два удара за 18 дней
Суммарный ущерб — колоссальный. Drift Protocol на Solana, 1 апреля: $285 млн. Kelp DAO на Ethereum, 18 апреля: $292 млн. Итого: более $575 миллионов, выведенных одним северокорейским подразделением менее чем за три недели, с принципиально разными векторами атак.
- Drift: социальная инженерия против подписантов мультисига Security Council, с заранее сфабрикованным CVT-токеном
- Kelp: компрометация двух RPC-нод LayerZero с параллельной DDoS-атакой на резервные узлы для принудительного переключения
- TraderTraitor подтверждает статус наиболее опасного актора для DeFi в 2026 году — 18 атрибутированных атак с начала года по данным Elliptic
Подробный разбор инцидента с Drift читайте в нашем материале о чёрной неделе крипторынка.
LayerZero против Kelp: кто виноват на самом деле?
В центре конфликта — конфигурация 1/1 DVN: единственный верификатор авторизует все кросс-чейн сообщения без какой-либо избыточности. LayerZero утверждает, что неоднократно рекомендовал Kelp перейти на мульти-DVN схему. KelpDAO возражает: конфигурация 1/1 была стандартной настройкой по умолчанию в GitHub-репозитории LayerZero, которую использовали 40% протоколов на инфраструктуре.
Preliminary indicators suggest attribution to Lazarus Group, more specifically TraderTraitor.
Зак Райнс (Zach Rynes), community liaison в Chainlink, одним из первых высказался в X: LayerZero уходит от ответственности за собственную скомпрометированную DVN-инфраструктуру. Эту позицию технически подтвердил banteg из Yearn Finance, проверивший публичный деплой LayerZero: эталонная конфигурация поставляется с проверкой из единственного источника по умолчанию на Ethereum, BSC, Polygon, Arbitrum и Optimism.
47% приложений LayerZero остаются уязвимыми
Данные Dune Analytics, опубликованные 20 апреля, — это новость внутри новости. Из 2 665 активных OApp, проанализированных за последние 90 дней, 47% работают с конфигурацией безопасности 1-из-1. LayerZero объявил о приостановке подписи сообщений для всех приложений с 1/1 установкой: сотни проектов ожидает принудительная миграция в ближайшие недели.
- TVL DeFi: упал с $99,5 млрд до $86,3 млрд за 48 часов — минус $13,2 млрд
- Aave: выведено депозитов на $8,45 млрд, рынки ETH/USDT/USDC загружены на 100%
- Токены под ударом: AAVE -22%, ZRO -22%, LDO -19%, ENA -13%, COMP -10%
Вопрос, который задаёт вся экосистема
Если 47% бриджей LayerZero по-прежнему работают с той же уязвимой конфигурацией, сколько ещё потерь в $292 млн потребуется, чтобы кросс-чейн DeFi всерьёз пересмотрел свои единые точки отказа? Компонуемость — это суперсила DeFi, но когда один элемент ломается — будь то RPC, DVN или мультисиг — каждый связанный протокол превращается в домино. Взлом Kelp — не просто разбор полётов, это стресс-тест, который весь сектор провалил. Для русскоязычных пользователей, работающих через европейские платформы вне российской банковской системы, этот инцидент подчёркивает: выбор надёжной и аудированной инфраструктуры критичен, особенно в условиях ограниченного доступа к правовой защите.
