Атака на KelpDAO: хакеры обрушили рынок DeFi на $290 млн
KelpDAO был взломан на $290 млн через инфраструктуру RPC-нодов, а не из-за ошибки в коде. Хакеры, предположительно из Lazarus Group, подменили данные, передаваемые системой проверки транзакций. У KelpDAO была уязвимая конфигурация проверки, что позволило атакующим подтвердить несуществующие операции. В результате атаки пострадал также Aave, где начался массовый вывод ликвидности, хотя сам протокол не был взломан.
Взлом KelpDAO: что произошло
KelpDAO взломали примерно на $290 млн. LayerZero сообщает, что это был не обычный баг в коде, а куда более сложная история.
Атака шла не напрямую на протокол, а через инфраструктуру — так называемые RPC-ноды (это серверы, через которые блокчейн «общается» с внешним миром). Хакеры, предположительно из Lazarus Group, смогли подменить данные, которые эти ноды отправляют системе проверки транзакций.
Дальше схема выглядела так: часть нод взломали и начали передавать фейковые данные, а остальные ноды просто «вырубили» через DDoS-атаку. В итоге система осталась без нормальной проверки и начала подтверждать операции, которых на самом деле не было.
Почему пострадал KelpDAO?
У них была максимально уязвимая конфигурация: всего один проверяющий узел (1/1 DVN). Это как если бы у вас был один охранник на весь банк — если его обманули, дальше никто уже ничего не проверяет.
весь удар пришёлся только на rsETH от KelpDAO
никакие другие проекты и активы не пострадали
сам протокол LayerZero не был взломан
Последствия для Aave
Но самое интересное началось дальше — уже в Aave. Атакующий занёс в систему «фейковые» rsETH и под них занял реальные активы. Когда это вскрылось, крупные игроки начали срочно выводить деньги — за сутки из протокола ушло более $6 млрд ликвидности. Пулы ETH, USDT и USDC фактически опустели и ушли в 100% загрузку.
Это создало парадоксальную ситуацию: деньги вроде есть, но вывести их нельзя. И пользователи начали занимать под собственные депозиты, просто чтобы вытащить хоть какую-то ликвидность. За сутки таких «вынужденных займов» набралось примерно на $300 млн — по сути, люди брали кредиты под свои же деньги с убытком.
На этом фоне токен AAVE упал примерно на 15%, а на биржи зашло более 355 тыс. токенов (~$32 млн), что усилило давление продаж.
И это важный момент: сам Aave не был взломан. Но один внешний актив смог вызвать эффект домино и заморозить ликвидность внутри системы. Это хороший пример того, что главный риск в DeFi сегодня — это не только код, а взаимосвязи между протоколами.
Подписывайтесь на наш канал в MAX: все главные новости о финансах, ничего лишнего!