Крупнейший крипто-взлом: Как хакеры из КНДР (Lazarus) украли $300 млн у KelpDAO и обрушили Aave

DeFi-рынок переживает одно из самых масштабных потрясений. Сразу три крупных проекта — LayerZero, Aave и KelpDAO — стали жертвами скоординированной хакерской атаки. Ущерб оценивается примерно в $300 млн. Следы преступления вновь ведут к печально известной северокорейской группировке Lazarus Group.

Эта атака в очередной раз обнажила главную слабость современной крипто-инфраструктуры — уязвимость кроссчейн-мостов.

Как хакерам удалось напечатать rsETH «из воздуха»?

Аналитики безопасности подтвердили, что взлом Kelp DAO на $293 млн — дело рук Lazarus Group. Схема атаки была технически сложной, но опиралась на одну фатальную ошибку архитектуры: единую точку отказа (Single Point of Failure).

KelpDAO использовала инфраструктуру LayerZero для перевода токена rsETH между сетями. Однако у моста была критическая уязвимость: за подтверждение всех транзакций отвечала всего одна нода (схема 1/1 DVN).

Используя скомпрометированные RPC-узлы и мощную DDoS-атаку, хакеры обманули эту ноду. Мост одобрил вывод токенов rsETH, которые в реальности никто не отправлял. Получив эти «воздушные» активы, злоумышленники немедленно направились на Aave.

Эффект домино: падение Aave и паника на рынке

Схема монетизации украденного оказалась классической для DeFi-взломов:

1. Хакер заложил напечатанные из воздуха токены rsETH в протокол Aave.
2. Под этот фальшивый залог он занял максимум реального ETH.

В результате Aave остался с фейковыми токенами, которые невозможно продать, и потенциальной дырой в балансе на $300 млн. Как только новости о взломе попали в сеть, началась паника. За 48 часов TVL (общая заблокированная стоимость) Aave рухнул на $6,6 млрд (-25%).

На данный момент rsETH на Aave заморожены, а ряд других DeFi-протоколов временно приостановили работу своих мостов, опасаясь эффекта заражения.

Что будет с деньгами? 3 сценария от DefiLama

Основатель аналитического сервиса DefiLama предложил три возможных пути решения проблемы для Kelp DAO:

• Сценарий 1: Распределение потерь (Стрижка). Каждый пользователь теряет 18,5% средств. Общий долг составляет около $216 млн: из них $55 млн покроет страховка Umbrella, $85 млн — казначейство Aave, а оставшиеся $76 млн протоколу придется занять или компенсировать продажей токенов AAVE.
• Сценарий 2: Отказ от L2. KelpDAO может бросить держателей rsETH в сетях второго уровня (L2). В этом случае Aave получит необеспеченный долг в размере $341 млн, и протоколу придется самому решать, какие рынки спасать.
• Сценарий 3: Откат к снепшоту. Технически самый сложный вариант из-за постоянного движения средств. Хакер занял $124 млн на Mainnet и $18 млн на Arbitrum.

Если эти активы удастся вернуть, итоговый чистый убыток после покрытия Umbrella составит около $91 млн.

Lazarus Group: главная угроза криптоиндустрии

Этот инцидент — лишь звено в длинной цепи атак, за которыми стоят хакеры, работающие на правительство КНДР. Их портфолио впечатляет и пугает одновременно:

• Взлом моста Ronin: $625 млн
• Атака на биржу Bybit: $1,5 млрд
• Взлом индийской биржи WazirX: $235 млн
• Кража у Drift Protocol (месяц назад): $285 млн

Ситуация с KelpDAO и Aave доказывает жестокое правило DeFi: когда крупный протокол принимает токены из десятков разных сетей, уязвимость в любой из них моментально становится угрозой для всей экосистемы.