LayerZero признала критическую ошибку после взлома KelpDAO. Aave отчиталась об успехах в восстановлении rsETH

• После взлома KelpDAO LayerZero признала проблему с DVN.
• Команда объявила о перестройке инфраструктуры.
• В свою очередь Aave сообщила о прогрессе в возврате средств.

Команда LayerZero опубликовала масштабное обновление после одного из крупнейших инцидентов в DeFi в 2026 году — взлома KelpDAO, в результате которого было похищено около $293 млн в токенах rsETH.

В компании впервые публично признали ошибки в конфигурации безопасности и извинились за задержку с коммуникацией после атаки, которую связывают с северокорейской группировкой Lazarus Group.

В LayerZero заявили, что сам протокол «остался неповрежденным», однако атакованными оказались внутренние RPC-серверы DVN-системы LayerZero Labs.

«Мы ужасно справились с коммуникацией в течение последних трех недель. Мы хотели предоставить полный анализ результатов, но должны были быть более прямолинейными с самого начала», — заявила команда.

По словам разработчиков, хакеры «отравили источник истины» внутренних RPC, которые использовал LayerZero Labs DVN, тогда как внешние RPC-провайдеры одновременно подверглись DDoS-атакам.

В компании также признали критическую ошибку в архитектуре безопасности:

«Мы допустили ошибку, позволив нашему DVN работать как 1/1 DVN для высокоценных транзакций. Мы не контролировали, что именно защищал наш DVN, и это создало риск, которого мы просто не увидели».

LayerZero подчеркнула, что инцидент затронул лишь «0,14% всех приложений» и примерно «0,36% стоимости активов» в сети.

LayerZero меняет систему безопасности после атаки Lazarus

После взлома команда объявила о масштабных изменениях в инфраструктуре:

• LayerZero Labs DVN больше не поддерживает конфигурации 1/1;
• все стандартные настройки переводят на модели 5/5 или минимум 3/3 DVN;
• компания создает новый DVN-клиент на Rust;
• внедряется новая система RPC-quorum;
• мультиподпись OneSig станет основой безопасности.

Отдельно LayerZero сообщила о внутреннем инциденте трехлетней давности, когда один из подписантов мультиподписи случайно использовал корпоративный аппаратный кошелек для личной сделки.

«Это очевидно неприемлемо», — заявили в компании.

После этого подписанта отстранили, кошельки ротировали, а LayerZero внедрила локальные системы выявления аномалий и собственную мультиподпись OneSig.

В компании подчеркнули, что архитектура LayerZero создавалась именно как ответ на системные риски мостов:

«Это единственная архитектура, которая полностью устраняет системный риск и позволяет приложениям полностью контролировать собственную безопасность».

По словам LayerZero, через протокол уже переместили более $260 млрд активов, а после 19 апреля — еще более $9 млрд без новых инцидентов.

Восстановление rsETH и судебная борьба за $71 млн

Параллельно коалиция DeFi United и Aave продолжают план восстановления rsETH после атаки на KelpDAO.

6 мая были ликвидированы восемь позиций злоумышленника в Aave V3 на Ethereum и Arbitrum. Полученные rsETH передали Recovery Guardian согласно решению Aave DAO.

Также:

• Mantle DAO поддержала участие в восстановлении;
• Arbitrum DAO рассматривает возврат $71 млн ETH, которые ранее заморозил Совет безопасности Arbitrum;
• Aave LLC подала экстренное ходатайство в суд Нью-Йорка из-за блокировки этих средств.

В LayerZero и партнеры заявили, что суд уже разрешил вынести вопрос передачи заблокированных Ethereum на голосование Arbitrum DAO.

Следующий этап плана предусматривает:

• сжигание ликвидированных rsETH в сети Arbitrum;
• аннулирование LayerZero-сообщения, которое могло создать новые rsETH в Ethereum;
• восстановление обеспечения хранилища моста;
• открытие вывода rsETH;
• возвращение нормальной работы рынков Aave.

Напомним, после атаки KelpDAO объявил о переходе на Chainlink. В проекте заявили, что модель 1-of-1 DVN ранее сама LayerZero считала допустимой.

Инцидент также спровоцировал кризис доверия в DeFi. По данным аналитиков LlamaRisk, после атаки TVL Aave сократился почти на $8,5 млрд из-за массового оттока капитала, а как минимум девять протоколов временно остановили операции с rsETH:

Источник