LayerZero и Aave раскрывают детали инцидента с rsETH на $290 млн и обсуждают последствия для безопасности

Крупный инцидент в экосистеме DeFi, связанный с протоколом рестекинга rsETH от KelpDAO, перешел в новую фазу после публичных заявлений ключевых участников рынка. Эксплойт, в результате которого оказались под угрозой активы на сумму около 290 миллионов долларов, привлек внимание к фундаментальным вопросам безопасности в кросс-чейн взаимодействиях. Компания LayerZero, предоставляющая инфраструктуру для передачи сообщений между блокчейнами, и кредитный протокол Aave подробно изложили свою версию произошедшего, объяснили, почему ущерб, по их мнению, оказался локализованным, и обсудили потенциальное влияние инцидента на будущие стандарты безопасности в криптоиндустрии.

Позиция LayerZero: атака на инфраструктуру, а не на протокол

В официальном заявлении от 20 апреля компания LayerZero представила детальный разбор событий, произошедших 18 апреля. Ключевой тезис заключается в том, что эксплойт не был следствием уязвимости в самом протоколе LayerZero. Вместо этого инцидент был «полностью изолирован в конфигурации rsETH от KelpDAO как прямое следствие их настройки с одним DVN (децентрализованным верификатором сети)». Компания подчеркнула, что провела «всесторонний обзор активных интеграций» и может «с уверенностью подтвердить отсутствие какого-либо заражения для любых других активов или приложений». Этот нарратив смещает фокус с общего риска для всех активов, интегрированных с LayerZero, на вопрос о концентрации риска в архитектурных решениях конкретного приложения.

Связь с государственными хакерами и механика атаки

LayerZero описывает произошедшее не как классический взлом протокола, а как сложную атаку на криптоинфраструктуру, предположительно, государственного уровня. В заявлении указано, что «предварительные данные указывают на причастность высококвалифицированного государственного актора, вероятно, Lazarus Group из КНДР, в частности, подразделения TraderTraitor». По версии компании, атака не скомпрометировала непосредственно протокол, управление ключами или экземпляры DVN. Злоумышленники отравили нижестоящую RPC-инфраструктуру, используемую DVN от LayerZero Labs, подменили бинарные файлы на скомпрометированных узлах op-geth, а затем использовали DDoS-атаки на незатронутые RPC, чтобы вынудить систему переключиться на отравленную инфраструктуру.

Этот многоступенчатый подход стал центральным элементом в объяснении LayerZero. «Благодаря нашим принципам минимальных привилегий, они не смогли скомпрометировать сами экземпляры DVN, — отмечается в заявлении. — Однако они использовали эту точку входа для проведения атаки с подменой RPC. Их вредоносный узел использовал специально созданную нагрузку, предназначенную для подделки сообщения, отправляемого в DVN, с минимальным количеством предупреждений». Компания пояснила, что манипулируемый узел представлял ложные данные только DVN, возвращая правдивые ответы другим IP-адресам, включая собственную мониторинговую инфраструктуру LayerZero, что было преднамеренной попыткой избежать обнаружения.

Роль конфигурации безопасности KelpDAO

Несмотря на сложность атаки, LayerZero настаивает, что эксплойт можно было бы остановить на уровне приложения, если бы rsETH не полагался на конфигурацию с одним верификатором. «Затронутым приложением был rsETH, выпущенный KelpDAO, — говорится в заявлении. — Их конфигурация OApp на момент инцидента полагалась на схему с 1 из 1 DVN, где LayerZero Labs выступала единственным верификатором — конфигурация, которая прямо противоречит модели избыточности с несколькими DVN, которую LayerZero постоянно рекомендует всем партнерам по интеграции». Компания добавила, что «правильно усиленная конфигурация потребовала бы консенсуса между несколькими независимыми DVN, сделав эту атаку неэффективной даже в случае компрометации любого отдельного DVN».

Реакция Aave и текущий статус активов

Кредитный протокол Aave также выступил с заявлением в социальной сети X, проанализировав последствия инцидента для своей платформы. Протокол сообщил, что, согласно его анализу, «rsETH в основной сети Ethereum полностью обеспечен», но добавил, что «из-за перестраховки rsETH остается замороженным в Aave V3 и V4, а подверженность риску от инцидента ограничена». Резервы WETH также остаются замороженными на затронутых рынках в сетях Ethereum, Arbitrum, Base, Mantle и Linea, пока команда продолжает проверять информацию и оценивать возможные пути решения ситуации. Эти меры демонстрируют осторожный подход крупных DeFi-протоколов к управлению рисками в подобных ситуациях.

Последующие действия и уроки для индустрии

В ответ на инцидент LayerZero предприняла ряд шагов. Компания сообщила, что ее DVN снова работает в штатном режиме, а затронутые RPC-узлы выведены из эксплуатации и заменены. Кроме того, LayerZero заявила, что больше не будет подписывать или подтверждать сообщения для приложений, использующих конфигурацию 1/1 (один верификатор из одного). Компания также работает с правоохранительными органами и отраслевыми партнерами, включая Seal911, по отслеживанию перемещения средств. Этот инцидент, вероятно, станет предметом пристального изучения со стороны других проектов в сфере межсетевого взаимодействия и рестекинга, подчеркивая критическую важность децентрализованных и избыточных моделей верификации.

Заключение

Инцидент с rsETH от KelpDAO на сумму 290 миллионов долларов высветил сложный ландшафт безопасности в современной экосистеме DeFi, где риски могут возникать не только на уровне смарт-контрактов, но и в нижележащей инфраструктуре и архитектурных решениях интеграторов. Заявления LayerZero и Aave направлены на успокоение рынка, локализацию проблемы и переложение фокуса на необходимость следования лучшим практикам, таким как использование нескольких независимых верификаторов. Хотя непосредственная угроза, по всей видимости, сдержана, этот случай, приписываемый сложной группе хакеров, служит серьезным напоминанием для всей индустрии о постоянной эволюции угроз и необходимости построения устойчивых, децентрализованных систем безопасности на всех уровнях.