#KelpDAOBridgeHacked

‍#Gate13thAnniversaryLive
Міст KelpDAO, підтримуваний ZRO, був зламаний 18 квітня 2026 року, що призвело до крадіжки приблизно 292–294 мільйонів доларів у криптовалютах на більш ніж 20 ланцюгах; це стало найбільшою атакою DeFi у 2026 році. Атака, здійснена за допомогою одного зламаного валідатора ZRO, спричинила негайне замороження на Aave, Arbitrum та інших протоколах.

Базова інформація

Дата атаки: 18 квітня 2026 року, ~17:35 UTC

Вкрадені кошти: ~116 500 монет (~$292–294 мільйони), ~18% обігового запасу

Вектор атаки: Фальшиве міжланцюгове повідомлення ZRO через зламану мережу децентралізованих валідаторів 1-до-1 (DVN) налаштування

Постраждалі протоколи: Aave, SparkLend, Fluid, Arbitrum, Lido, Ethena, Compound, Euler

Негайні наслідки:

Aave заморозив V3 і V4 і зіткнувся з ризиком ~$177–196 мільйонів у поганих боргах.

Arbitrum заморозив 30 766 ETH (~$100 мільйонів), пов’язаних з гаманцем хакера.

ZRO знизився більш ніж на 22% за 24 години.

Ціна токена AAVE знизилася приблизно на 20% до $92.06.

Вплив на ринок

Ethereum (ETH): Ціна одразу після атаки знизилася до $2 300 і була повністю врахована прогнозними ринками.

Bitcoin (BTC): Зросла обережність щодо ризиків, і ймовірність досягнення контрактами прогнозу для BTC на рівні $60 000 до кінця квітня зросла до 22%.

Ліквідність DeFi: Приблизно $9 мільярд$100 було виведено з Aave у паніці; це свідчить про системний страх щодо безпеки мостового забезпечення.

Відповідальність та атрибуція

Підозрюваний зловмисник: Група Лазарус з Північної Кореї, яка використовувала складні техніки підробки.

Позиція KelpDAO: Звинувачує інфраструктуру ZRO, зокрема зламані RPC-ноді та ненадійне налаштування DVN 1-до-1. Kelp наполягає, що її власні контракти не були безпосередньо скомпрометовані.

Відповідь ZRO: Визнання недоліків у налаштуванні валідатора, активна робота над виправленнями разом із KelpDAO.

Заходи та наступні кроки

Надзвичайні замороження: KelpDAO зупинив передачу вкрадених монет між Ethereum і L2 протягом 46 хвилин.
Заблоковані гаманці: KelpDAO внесла до чорного списку зловмисні адреси та запровадила SEAL 911, гарячу лінію для безпекових загроз.

Діяльність управління: DAO Arbitrum голосуватиме щодо долі (мільйона доларів замороженого ETH.

Майбутні виправлення: Ведуться заклики до створення кількох налаштувань валідаторів DVN для запобігання єдиної точки відмови у міжланцюгових повідомленнях.

Ризики та уроки

Уразливості мостів залишаються найбільшим системним ризиком у DeFi.

Одноразові налаштування валідаторів неприпустимі для протоколів із високою вартістю; критично важлива надмірність.

Розподіл забезпечення: Використання зламаних активів як застави )наприклад, на Aave$ZRO може спричинити поширення шкоди на кілька платформ.

Довіра спільноти: KelpDAO, яка до атаки мала загальний заблокований обсяг у $1,57 мільярда, зазнала удару по своїй репутації, і відновлення залежатиме від прозорих заходів щодо виправлення.