Хакеры вывели $293 млн из протокола Kelp через уязвимость кроссчейн-моста

Крупнейший эксплойт Kelp: $293 млн похищены через мост rsETH

17 апреля протокол ликвидного рестейкинга Kelp стал жертвой масштабной хакерской атаки. Злоумышленник воспользовался уязвимостью в кроссчейн-мосте токена rsETH, построенном на инфраструктуре LayerZero, и похитил активы на сумму около $293 млн.

Аналитическая платформа Cyvers зафиксировала атаку в режиме реального времени:

«🚨 $293M EXPLOIT DETECTED: Cyvers AI systems have identified a massive attack on @KelpDAO. Our platform flagged the breach in real-time, tracking ~$293.7M drained from the protocol's RSETH Adapter. Currently, ~$250M has already been swapped to $ETH and is held across two…» — 🚨 Cyvers Alerts 🚨 (@CyversAlerts), оригинальный пост

Почему это важно

Инцидент с Kelp — ещё один удар по сектору ликвидного рестейкинга и кроссчейн-инфраструктуре в целом. Похищенные 116 500 rsETH составляют порядка 18% от общего объёма токена в обращении, что создаёт серьёзные риски для всей экосистемы вокруг этого актива. Атака также затронула DeFi-протокол Aave, курс токена которого обвалился почти на 20% из-за опасений по поводу невозвратных кредитов.

Как проходила атака

Согласно данным CyversAlerts, хакер эксплуатировал уязвимость в кроссчейн-мосте rsETH на базе LayerZero. В 17:35 UTC злоумышленник вызвал функцию lzReceive в контракте EndpointV2, что позволило инициировать перевод 116 500 rsETH на подконтрольный адрес. Финансирование кошелька атакующего было осуществлено через криптомиксер Tornado Cash.

По информации Cyvers, примерно $250 млн из украденных средств уже были обменяны на ETH.

Реакция команды Kelp и Aave

Команда Kelp обнаружила подозрительную активность и среагировала спустя примерно 46 минут после начала атаки. Был активирован механизм экстренной паузы в контракте конфигурации rsETH, что привело к каскадной остановке других компонентов протокола.

«Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate. We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.» — Kelp (@KelpDAO), оригинальный пост

Представители проекта подтвердили приостановку контрактов rsETH в основной сети и на нескольких L2-решениях. Расследование ведётся совместно с LayerZero, Unichain, аудиторами и специалистами по кибербезопасности.

DeFi-протокол Aave также оперативно заморозил рынки rsETHна платформах V3 и V4. Токен AAVE за сутки потерял около 20% стоимости на фоне сообщений о возможных проблемах с невозвратными кредитами.

Заблокированные попытки повторного вывода

После активации паузы хакер предпринял ещё две попытки вывести средства — каждый раз пытаясь перевести по 40 000 rsETH (порядка $100 млн). Обе транзакции были успешно заблокированы.

Для Kelp это не первый инцидент безопасности. В апреле 2025 года протокол уже приостанавливал операции по внесению и выводу средств из-за ошибки в соглашении о комиссиях, которая привела к избыточной эмиссии rsETH.

По данным CoinGecko, котировки самого rsETH не претерпели значительного падения, несмотря на то что украденный объём составляет около 18% всех токенов в обращении.

Атака на Kelp произошла менее чем через три недели после взлома DeFi-платформы Drift Protocol на Solana 1 апреля, в ходе которого злоумышленники похитили не менее $280 млн.