incrypted.com
- После взлома KelpDAO LayerZero признала проблему с DVN.
- Команда объявила о перестройке инфраструктуры.
- В свою очередь Aave сообщила о прогрессе в возврате средств.
Команда LayerZero опубликовала масштабное обновление после одного из крупнейших инцидентов в DeFi в 2026 году — взлома KelpDAO, в результате которого было похищено около $293 млн в токенах rsETH.
В компании впервые публично признали ошибки в конфигурации безопасности и извинились за задержку с коммуникацией после атаки, которую связывают с северокорейской группировкой Lazarus Group.
В LayerZero заявили, что сам протокол «остался неповрежденным», однако атакованными оказались внутренние RPC-серверы DVN-системы LayerZero Labs.
«Мы ужасно справились с коммуникацией в течение последних трех недель. Мы хотели предоставить полный анализ результатов, но должны были быть более прямолинейными с самого начала», — заявила команда.
По словам разработчиков, хакеры «отравили источник истины» внутренних RPC, которые использовал LayerZero Labs DVN, тогда как внешние RPC-провайдеры одновременно подверглись DDoS-атакам.
В компании также признали критическую ошибку в архитектуре безопасности:
«Мы допустили ошибку, позволив нашему DVN работать как 1/1 DVN для высокоценных транзакций. Мы не контролировали, что именно защищал наш DVN, и это создало риск, которого мы просто не увидели».
LayerZero подчеркнула, что инцидент затронул лишь «0,14% всех приложений» и примерно «0,36% стоимости активов» в сети.
LayerZero меняет систему безопасности после атаки Lazarus
После взлома команда объявила о масштабных изменениях в инфраструктуре:
- LayerZero Labs DVN больше не поддерживает конфигурации 1/1;
- все стандартные настройки переводят на модели 5/5 или минимум 3/3 DVN;
- компания создает новый DVN-клиент на Rust;
- внедряется новая система RPC-quorum;
- мультиподпись OneSig станет основой безопасности.
Отдельно LayerZero сообщила о внутреннем инциденте трехлетней давности, когда один из подписантов мультиподписи случайно использовал корпоративный аппаратный кошелек для личной сделки.
«Это очевидно неприемлемо», — заявили в компании.
После этого подписанта отстранили, кошельки ротировали, а LayerZero внедрила локальные системы выявления аномалий и собственную мультиподпись OneSig.
В компании подчеркнули, что архитектура LayerZero создавалась именно как ответ на системные риски мостов:
«Это единственная архитектура, которая полностью устраняет системный риск и позволяет приложениям полностью контролировать собственную безопасность».
По словам LayerZero, через протокол уже переместили более $260 млрд активов, а после 19 апреля — еще более $9 млрд без новых инцидентов.
Восстановление rsETH и судебная борьба за $71 млн
Параллельно коалиция DeFi United и Aave продолжают план восстановления rsETH после атаки на KelpDAO.
6 мая были ликвидированы восемь позиций злоумышленника в Aave V3 на Ethereum и Arbitrum. Полученные rsETH передали Recovery Guardian согласно решению Aave DAO.
Также:
- Mantle DAO поддержала участие в восстановлении;
- Arbitrum DAO рассматривает возврат $71 млн ETH, которые ранее заморозил Совет безопасности Arbitrum;
- Aave LLC подала экстренное ходатайство в суд Нью-Йорка из-за блокировки этих средств.
В LayerZero и партнеры заявили, что суд уже разрешил вынести вопрос передачи заблокированных Ethereum на голосование Arbitrum DAO.
Следующий этап плана предусматривает:
- сжигание ликвидированных rsETH в сети Arbitrum;
- аннулирование LayerZero-сообщения, которое могло создать новые rsETH в Ethereum;
- восстановление обеспечения хранилища моста;
- открытие вывода rsETH;
- возвращение нормальной работы рынков Aave.
Напомним, после атаки KelpDAO объявил о переходе на Chainlink. В проекте заявили, что модель 1-of-1 DVN ранее сама LayerZero считала допустимой.
Инцидент также спровоцировал кризис доверия в DeFi. По данным аналитиков LlamaRisk, после атаки TVL Aave сократился почти на $8,5 млрд из-за массового оттока капитала, а как минимум девять протоколов временно остановили операции с rsETH: