Команда LayerZero обвинила КНДР во взломе KelpDAO

• Согласно LayerZero, хакеры Lazarus Group атаковали протокол KelpDAO.
• Взлом на $290 млн обнажил слабое место DeFi и спровоцировал отток почти $18 млрд из Aave.
• В сообществе отметили, что Aave проходит самый тяжелый этап в своей истории.

За атакой на протокол ликвидного рестейкинга KelpDAO, в результате которой злоумышленники вывели около $290-$292 млн, по заявлению LayerZero, вероятно, стоит северокорейская хакерская группировка Lazarus Group, в частности подгруппа TraderTraitor, которую часто связывают с государственными кибератаками.

Инцидент, произошедший 18 апреля 2026 года, уже вызвал цепную реакцию в секторе DeFi: массовые выводы средств из Aave, падение общей заблокированной стоимости рынка и новые опасения относительно безопасности кроссчейн-инфраструктуры.

В компании подчеркнули, что взлом был связан не с уязвимостью самого протокола, а с конфигурацией KelpDAO rsETH, которая использовала модель 1-of-1 DVN, то есть единственного верификатора без резервирования.

Как произошел взлом и почему ответственность частично возлагают на KelpDAO

По данным LayerZero, злоумышленники осуществили сложную атаку на RPC-инфраструктуру, которая использовалась DVN-узлом для проверки транзакций.

Хакеры:

• скомпрометировали два RPC-узла;
• подменили бинарные файлы, которые запускали узлы op-geth;
• осуществили атаки с подделкой RPC-запросов;
• параллельно провели DDoS-атаку на непораженные узлы;
• заставили систему переключиться на «отравленные» резервные RPC.

В результате DVN подтвердил транзакции, которые фактически никогда не происходили.

LayerZero подчеркнула, что заражение не распространилось на другие активы.

В то же время в криптосообществе резко раскритиковали KelpDAO за выбор слабой архитектуры без дублирования проверок. Один из пользователей под псевдонимом hendricks напомнил, что риск модели 1/1 DVN поднимался еще 15 месяцев назад на форуме управления Aave:

«Это не была неудача — это был сознательный выбор. Очень подозрительно».

Критика прозвучала и в адрес самой LayerZero. Пользователь Bradly (CryptPlayer) отметил:

«Вы перекладываете всю ответственность на KelpDAO, но на самом деле вы ее разделяете».

Похожую позицию высказал CISO StarkWare Хаим Красникер, который обратил внимание на противоречие в механизме отказоустойчивости:

«После того, как произошла эта DDoS-атака, система не должна автоматически переходить на внутренние RPC, которые полностью контролируются LZ».

Эффект домино: Aave, отток $18 млрд и давление на ETH-ликвидность

Самый серьезный вторичный удар пришелся по Aave. После взлома актив rsETH экстренно заморозили в Aave V3 и V4. Об этом заявил основатель протокола Стани Кулечов.

По рыночным оценкам, событие уже спровоцировало отток около $18 млрд из Aave из-за страха перед формированием безнадежной задолженности.

Аналитик Энди Лиан отметил, что прямой долг в размере $177 млн составляет лишь 0,65% от стоимости заблокированных средств (TVL) Aave, которая оценивается примерно в $27,3 млрд, однако наибольшее давление испытывают именно поставщики ликвидности в Ethereum.

По его словам:

«Протокол переживает самую серьезную экзистенциальную проверку с момента своего создания».

Несмотря на это, эксперты пока не говорят о системном коллапсе, поскольку другие рынки — USDC, GHO, WBTC — продолжают работать в штатном режиме.

Напомним, что взлом KelpDAO стал лишь частью более крупного кризиса кибербезопасности в криптоиндустрии. По данным CertiK, только в марте 2026 года зафиксировали 46 атак, что стало рекордом с ноября 2024 года.

Дополнительно рынок уже пережил:

• взлом Drift примерно на $280 млн;
• инцидент со Stabble из-за возможной причастности связанного с КНДР разработчика;
• взлом Hyperbridge, который привел к падению курса Polkadot ($DOT) до $1,15 после незаконной эмиссии 1 млрд $DOT.