Что произошло: краткий обзор
18 апреля сообщество блокчейн‑технологий узнало о сложном взломе, нацелившемся на KelpDAO, кросс‑чейн протокол ликвидности. Инцидент, теперь широко известный как KelpDAO exploit, позволил злоумышленникам вывести около 30 766 ETH — более 55 млн долларов по текущему курсу — направив вредоносную активность через платформу DeFi‑кредитования Aave, а не атаковать открытые рынки напрямую. Такой ход позволил скрыть следы, переложить финансовый риск на протокол кредитования и избежать традиционных методов обнаружения.
Механика кросс‑чейн атаки
В отличие от классических вымогательских программ или фишинговых схем, эксплойт KelpDAO использовал композируемость децентрализованных финансов. Сначала атакующие взяли крупную сумму активов у Aave, ведущего некостодиального протокола кредитования, применив флеш‑заём, не требующий предварительного обеспечения. После получения займа они переместили капитал через несколько цепочек, используя уязвимости в мостовых контрактах KelpDAO для создания синтетической ликвидности, которую можно было мгновенно слить. К моменту возврата займа украденные ETH уже были направлены в серию миксеров и приватных кошельков.
Как эксплойт KelpDAO использовал Aave
Аналитик Certik Wenzhao Dong отметил глубокое понимание злоумышленниками рыночной ликвидности. «Группа Lazarus продемонстрировала изощрённое понимание динамики ликвидности, направив атаку через Aave, а не раскрывая себя на спотовых рынках», — объяснил он. Используя кредитные пулы Aave, преступники переложили финансовый риск на протокол, превратив платформу в невольного соучастника. Этот подход также дал им временный щит от проскальзывания цен, позволяя перемещать украденные активы без вызова крупных рыночных колебаний, которые могли бы предупредить трейдеров.
- Флеш‑заём ≈ 3 000 ETH от Aave
- Кросс‑чейн мост к пулу ликвидности KelpDAO
- Быстрое извлечение синтетических активов
- Возврат флеш‑заёма до того, как on‑chain аудит смог зафиксировать нарушение
Подход подчёркивает растущую тенденцию: киберпреступники используют DeFi‑протоколы не только как цели, но и как инструменты для усиления собственных операций.
Ответ Arbitrum и SEAL 911
В течение нескольких часов после инцидента Совет безопасности Arbitrum совместно с экстренным реагированием SEAL 911 заморозил скомпрометированные средства. Их скоординированные действия позволили заблокировать 30 766 ETH, эффективно остановив фазу немедленного вывода средств. Хотя заморозка не гарантирует полного возмещения, она чётко сигнализирует о том, что экосистема обновляет свои защитные протоколы. Совет также опубликовал пост‑мортем отчёт, призывающий разработчиков проводить аудит мостовых контрактов и внедрять более строгий мониторинг ликвидности на кредитных платформах.
Последствия для безопасности DeFi и взгляд в будущее
Эксплойт KelpDAO поднимает несколько тревожных сигналов для инвесторов и разработчиков. Во‑первых, инцидент демонстрирует, что кросс‑чейн мосты остаются уязвимым местом, особенно в сочетании с возможностями флеш‑заёма. Во‑вторых, он подчёркивает необходимость аналитики риска в реальном времени, способной фиксировать аномальные соотношения заём‑к‑торгу. В