Хакери вкрали криптовалют на 300М USD в неочікуваний спосіб

 Хакери скористалися можливістю використання міжланцюжкового мосту, вичерпавши майже 300 мільйонів доларів з ключового елемента децентралізованої фінансової інфраструктури та викликавши хвильовий ефект на кількох криптоплатформах.

Зловмисник викрав близько 116 500 rsETH — токена, випущеного Kelp DAO, який представляє «перезакладений» ефір — атакуючи міст, побудований за допомогою LayerZero, системи, яка дозволяє різним блокчейнам взаємодіяти. Загальні втрати оцінюються приблизно в 293 мільйони доларів, що робить це найбільшим DeFi-експлойтом 2026 року.

«Ми виявили підозрілу міжланцюгову активність, пов’язану з rsETH», – сказав Kelp DAO у своєму дописі на X. «Ми призупинили контракти rsETH в основній мережі та кількох мережах другого рівня, поки проводимо розслідування».

Kelp DAO — це протокол рестейкінгу, який дозволяє користувачам вносити популярні токени для стейкингу, такі як stETH або cbETH, та отримувати натомість rsETH, які потім можна використовувати в інших криптододатках, отримуючи при цьому винагороди. Ця гнучкість допомогла rsETH широко поширитися на децентралізованих платформах кредитування, торгівлі та ліквідності.

Той самий взаємозв'язок швидко перетворив порушення на ширшу ринкову проблему.

«Це був не просто експлойт протоколу, це одразу ж стало подією міжпротокольного зараження», – заявила компанія Cyvers, що спеціалізується на безпеці, оцінюючи, що постраждали щонайменше дев’ять інших платформ.

Простіше кажучи, DeFi-протоколи часто накладаються один на одного. Активи, такі як rsETH, повторно використовуються в кількох сервісах, наприклад, як забезпечення кредитів або як ліквідність у торгових пулах. Коли один елемент виходить з ладу, це може підірвати всі місця, де цей актив використовується.

«Саме такий інцидент підкреслює ризики» взаємопов’язаних систем у DeFi, — сказав головний виконавчий директор Cyvers Дедді Лавід. — «Завдання полягає не лише в запобіганні експлойтам на рівні контракту, а й у розумінні того, як швидко вони можуть поширюватися по інтегрованих протоколах».

Aave, найбільший протокол DeFi-кредитування із заблокованими активами на суму понад 20 мільярдів доларів, заморозив ринки, пов'язані з rsETH, щоб стримати збитки.

«Заморожування ринків rsETH запобігає новим депозитам та запозиченням під заставу rsETH, поки оцінюється ситуація», – йдеться на платформі . За даними Coingecko, її токен впав на 20% під час азійських торгових годин у неділю.

Технічний директор Cyvers Меїр Долев сказав, що ситуація могла бути й гіршою. За його словами, протокол був «лише за три хвилини від втрати додаткових 100 мільйонів доларів», а швидке створення чорного списку заблокувало другу спробу зловмисника.

Цей злом перевершує попереднє порушення проекту Drift на базі Solana як найбільший експлойт DeFi цього року та відбувається у делікатний момент для цього сектору.