Взлом KelpDAO на $293 млн раскрывает реальную поверхность атаки DeFi

Любой руководитель платформы с работающим кросс-чейн мостом должен приходить на следующий архитектурный обзор с одним вопросом в повестке: сколько независимых валидаторов стоит между мостовым контрактом протокола и выводом средств? Если честный ответ — один, инженерные расходы на следующие 90 дней только что сменили приоритеты. Эксплойт KelpDAO — это тот тип инцидента, который меняет выбор поставщиков и планы найма, а не только руководства по реагированию на инциденты.

Заголовочная цифра — $293 миллиона. Более важная цифра для тех, кто в этом квартале принимает решение «строить или покупать» мостовую инфраструктуру, — один. Как в схеме 1-из-1.

Что произошло

18 апреля 2026 года злоумышленники похитили 116 500 rsETH из KelpDAO, что составило примерно $290–293 миллиона в зависимости от внутридневного курса. Как сообщало Crypto Briefing, эксплойт не был направлен ни на одну строку кода смарт-контракта. Не было ошибки повторного входа, погрешности округления в расчёте доходности, уязвимости подписи. Код на Solidity, насколько можно судить, устоял.

Сломалась операционная «сантехника». Злоумышленники скомпрометировали внутренние RPC-узлы KelpDAO с помощью техники, получившей название RPC-отравление, и использовали эти скомпрометированные узлы для подачи мостовому протоколу фиктивного события сжигания, которое на самом деле никогда не происходило в блокчейне. Мост, доверяя своему источнику данных, отправил 116 500 rsETH на адреса злоумышленников. Параллельно проводилась DDoS-атака, которая, по мнению наблюдателей, либо служила отвлекающим манёвром для команды безопасности, либо активно перенаправляла трафик на скомпрометированную резервную инфраструктуру.

Критический структурный изъян — схема верификации 1-из-1. Между протоколом и катастрофической потерей стояла единственная точка подтверждения, и злоумышленники её нашли.

Атрибуция, что всё чаще характерно для краж криптовалюты на девятизначные суммы, указывает на северокорейскую Lazarus Group, конкретно на подгруппу TraderTraitor, — на основании инфраструктурных паттернов, схожих с предыдущими операциями, связанными с КНДР. Последствия оказались тяжёлыми: DeFi-протоколы по всей экосистеме приостановили транзакции с rsETH, а от $10 до $13 миллиардов общей заблокированной стоимости утекло из DeFi, поскольку пользователи бежали из протоколов с похожими архитектурными допущениями. Это крупнейший взлом DeFi 2026 года.

Техническая анатомия

Чтобы понять, почему это важно для архитектуры DeFi на ближайшие три года, нужно разобраться, что такое RPC-узел в данном контексте. Это уровень чтения. Когда мостовой контракт в сети B должен узнать, произошло ли соответствующее событие сжигания в сети A, он не наблюдает другую цепочку телепатически — он запрашивает RPC-узел. Если тот лжёт, и ничто не перепроверяет ответ, мост выпускает или освобождает активы против транзакции, которой никогда не существовало.

Именно это архитектурное допущение монетизировала группа Lazarus. Стек инструментария Ethereum, хорошо задокументированный на ethereum.org, по соглашению считает RPC-эндпоинты доверенной инфраструктурой — но не криптографически. Большинство команд, использующих самостоятельно размещённые узлы Geth или Erigon, считают главной угрозой простой, а не злонамеренную инъекцию данных изнутри собственного периметра. KelpDAO убедился в обратном.

Слой DDoS — вот что поднимает произошедшее с уровня «умно» до уровня «профессионально». Принудительный перевод системы на деградированные резервные пути — это классика из традиционных атак на финансовую инфраструктуру, и её аккуратный перенос в DeFi говорит о том, что угрозы больше не исходят от криптонативных оппортунистов. Это государственно-аффилированные операторы, применяющие зрелые TTPs против незрелых операционных стеков.

Пространство решений хорошо известно, даже если внедрение обходится дорого. Многоисточниковая верификация через оракульные сети (архитектура CCIP от Chainlink, задокументированная на docs.chain.link, — наиболее очевидный коммерческий вариант), N-из-M-аттестация через независимо управляемые наборы валидаторов, ZK-лёгкие клиенты, криптографически верифицирующие переходы состояний вместо доверенных RPC. Всё это существует. Ничто из этого не бесплатно. Каждый элемент добавляет задержки, интеграционные расходы и зависимость от поставщиков к стеку, который большинство DeFi-команд оптимизировали под эффективность капитала и скорость вывода на рынок, а не под устойчивость к атакам.

Этот компромисс и есть настоящая история. У KelpDAO не было схемы 1-из-1 потому, что инженерная команда была ленива. Она была потому, что до 18 апреля стоимость схемы аттестации 5-из-7 выглядела неоправданной относительно воспринимаемого риска.

Кто пострадает

Три категории операторов теперь уязвимы способами, которые их советы директоров ещё не вполне осознают.

Первое — все протоколы ликвидного рестейкинга с аналогичной топологией моста. Отток TVL от $10 до $13 миллиардов случился не потому, что пользователи были убеждены в идентичных недостатках всех протоколов. Он случился потому, что пользователи не могли определить снаружи, какие протоколы используют архитектуру 1-из-1, а какие — нет. Непрозрачность превращается в заражение. Руководители платформ в протоколах-аналогах оказались в незавидной позиции: они должны либо публично задокументировать свою архитектуру верификации — а значит, пригласить проверку, которую могут не пережить, — либо молчать и наблюдать, как уходит TVL.

Второе — поставщики bridge-as-a-service. Все, кто продаёт «white-label кросс-чейн слой» с зависимостью от самостоятельно размещённых RPC, скоро столкнутся с закупочными опросниками, которых в марте не существовало. Ожидайте, что RFP начнут требовать подписанных аттестаций от нескольких независимых поставщиков инфраструктуры, условий слэшинга за нарушения валидаторов и SLA на реагирование на инциденты в минутах.

Главному юристу любого DeFi-протокола, управляющего институциональным капиталом, следует на этой неделе спросить своего CTO: совпадает ли опубликованная документация по безопасности протокола с его реально развёрнутой архитектурой, и не были ли инициированы какие-либо обязательства по раскрытию информации в связи с остановкой rsETH. Если протокол заморозил средства пользователей в ответ на эксплойт, даже временно, возникает реальный вопрос о договорных обязательствах перед LP и интегрирующими площадками. Этот разговор срочнее любого аудита кода.

Третье — рынок найма инженеров по безопасности DeFi резко меняется. Раньше была премия на аудиторов Solidity и специалистов по формальной верификации. Новый дефицитный навык — инженер по безопасности, понимающий RPC-инфраструктуру, проектирование наборов валидаторов, экономику оракулов и устойчивость к DDoS как единую интегрированную дисциплину. Сейчас такой человек работает на CEX или в компании высокочастотной торговли, а не в DeFi-протоколе, и скоро станет очень дорогим.

Руководство для крипто и DeFi

Для команд, управляющих мостами или протоколами рестейкинга, три действия должны быть в дорожной карте на этот квартал.

Проведите аудит топологии верификации от начала до конца. Не Solidity. Реальный поток данных от события во внешней цепочке до мутации внутреннего состояния. Каждая зависимость от RPC, каждый резервный путь, каждое допущение о том, кто обладает правом подписи на что. Запишите это. Если какой-либо единственный компонент — человек, ключ или узел — может в одностороннем порядке инициировать выпуск активов, у вас схема 1-из-1 независимо от того, что утверждает ваш whitepaper.

Честно оцените стоимость миграции на N-из-M-аттестацию. Управление пятью независимыми узлами валидаторов с географически распределённым управлением ключами стоит реальных денег — порядка высоких шестизначных сумм ежегодно, включая покрытие SRE. Эту стоимость следует моделировать относительно процента TVL под риском, и результат должен лечь на стол CFO с чётким запросом. Экономика самострахования от операционного компрометирования теперь читается так, как 30 дней назад не читалась.

Для протоколов, интегрирующих чужие мосты, требуйте прозрачности аттестации перед продлением любой интеграции. Если поставщик не может предоставить актуальную архитектурную схему, демонстрирующую независимые пути верификации, считайте это опережающим индикатором и направляйте ликвидность в другое место. Переговорные позиции сейчас наиболее сильны, пока потеря KelpDAO ещё свежа в разговорах с отделами продаж поставщиков.

Наконец, выделите средства на найм. Один старший инженер по инфраструктурной безопасности с опытом в TradFi или на бирже, встроенный в платформенную команду, — это найм с наибольшим ROI, который DeFi-протокол может сделать в 2026 году. Рынок ещё не полностью оценил эту роль. К четвёртому кварталу оценит.

Ключевые выводы

• Потеря $293 миллионов KelpDAO произошла из-за скомпрометированных RPC-узлов и схемы верификации 1-из-1, а не из-за ошибки смарт-контракта. Бюджеты на аудит, полностью направленные на проверку Solidity, теперь структурно недооценивают реальную поверхность атаки.
• Отток TVL от $10 до $13 миллиардов по всему DeFi демонстрирует архитектурное заражение: пользователи бежали из любого протокола, который мог разделять те же операционные допущения, а не только из самого KelpDAO.
• Подгруппа TraderTraitor из Lazarus Group теперь проводит комбинированные операции уровня TradFi (RPC-отравление плюс DDoS) против DeFi-целей. Моделирование угроз должно учитывать возможности государственного уровня, а не эксплуатацию одиночками.
• Руководителям платформ следует рассматривать любой путь верификации 1-из-1 как критическую находку в этом квартале и до следующего заседания совета директоров оценить стоимость многовалидаторной аттестации относительно TVL под риском.
• Дефицитный найм в DeFi в 2026 году — это не аудитор Solidity. Это инженер по инфраструктурной безопасности, рассматривающий RPC, оракулы и устойчивость к DDoS как единую проблему.

Командам, оценивающим архитектуру своего моста, теперь следует задавать себе более острую версию старого вопроса. Не «прошли ли мы аудит», а «каково минимальное число независимых сбоев, необходимых для опустошения этого контракта» — и выдержит ли честный ответ утреннее раскрытие в понедельник.