cointelegraph-ru.com
18 апреля неизвестный злоумышленник вывел 116 500 rsETH из кроссчейн-моста Kelp DAO, построенного на базе LayerZero. Ущерб превысил $290 млн.
Атака реализована через вызов функции lzReceive в контракте EndpointV2. За 10 часов до инцидента кошелек хакера получил эфир для оплаты комиссий — средства прошли через миксер Tornado Cash.
Kelp DAO активировала экстренную паузу спустя 46 минут после взлома: были остановлены пулы, система вывода, оракулы и смарт-контракт rsETH. Это позволило предотвратить кражу еще 40 000 rsETH (~$100 млн) в ходе последующих попыток.
Похищенный объем составил около 18% от общего рыночного предложения rsETH.
Реакция Kelp DAO
Команда Kelp DAO приостановила работу смарт-контрактов rsETH из-за «подозрительной активности».
Проект проводит анализ причин инцидента совместно с LayerZero, Unichain, аудиторами и экспертами по кибербезопасности. Разработчики пообещали информировать сообщество о ситуации и призвали доверять только официальным источникам Kelp DAO.
Плохие долги
На фоне рисков возникновения «плохих долгов» цена токена AAVE упала почти на 20%.
Ведущая платформа криптокредитования заморозила рынки rsETH в версиях V3 и V4, подчеркнув, что ее собственные контракты не пострадали. Команда Aave пообещала рассмотреть варианты покрытия возможного дефицита.
Как сообщил журналист Колин Ву, инцидент вызвал панику среди крупных инвесторов: один лишь основатель TRON Джастин Сан вывел с платформы 65 584 $ETH (~$154 млн).
На фоне массового оттока капитала коэффициент использования $ETH в пулах Aave достиг 100%.
Это второй инцидент с rsETH за последние 12 месяцев. В апреле 2025 года Kelp приостанавливала операции из-за бага в контракте комиссий, однако тогда средства пользователей не пострадали.