security

20 квітня децентралізований протокол Kelp DAO став жертвою масштабної хакерської атаки, збитки від якої перевищили 300 мільйонів доларів. Уже в перші години після інциденту стало зрозуміло, що це одне з найбільших пограбувань у секторі DeFi за останні роки. У цій статті ми проаналізуємо, що відомо на сьогодні, та детально розглянемо перебіг розслідування протягом перших 18 діб після зламу.
Якщо в перші години після інциденту картина подій була фрагментарною, то протягом наступних десяти діб розслідування обросло значною кількістю технічних подробиць та фактів.
Атака 1
Фаза 1
Первинна атака
Продовжувалась на протязі однієї хвилини.
Точкою входу був вибраний кросчейн-адаптер rsETH на базі інфраструктури LayerZero. Злам відбувся за рахунок компрометації інфраструктури RPC-вузлів. Для цього використали архітектурну помилку. Ураження всієї системи почалось з одного скомпрометованого ідентифікатору.
Фаза 2
Площа основних подій
Після зламу системи зловмисники використали хитру схему: вони надіслали підроблене повідомлення про успішне «блокування» коштів.
Для тих, хто не знається на архітектурі DeFi, у цьому контексті «блокування» працює не як заморозка рахунку, а як підтвердження внеску. В нормальних умовах процес виглядає так:
Етап 1
Ви вносите актив (наприклад, 100$). Система фіксує отримання коштів і «блокує» їх у своєму сховищі як заставу.
Етап 2
Тільки після успішного першого етапу запускається автоматичний процес випуску нових токенів, які отримує користувач.
Саме цю логіку використали хакери. Вони змусили систему повірити, що перший етап пройдено успішно, хоча реальні активи не вносилися. Сприйнявши підроблене повідомлення за легітимне, протокол помилково випустив 116 500 rsETH без жодної фактичної застави. Завдяки інтеграції з технологією LayerZero, зловмисники змогли миттєво поширити цей вплив на декілька блокчейнів. Це дозволило їм одночасно вивести кошти з понад 20 мереж, серед яких Arbitrum, Base, Linea та інші, перетворивши помилку одного протоколу на масштабну втрату ліквідності в усій екосистемі.
Фаза 3
Відхід та легалізація
Отримавши тисячі неліквідних токенів rsETH (які фактично не мали під собою реального забезпечення), хакери використали їх як заставу в кредитних протоколах, зокрема в Aave.
Як це працює (простими словами):
Уявіть звичайний ломбард. Якщо ви принесете туди картину, оцінювач ретельно її перевірить у режимі реального часу, перш ніж видати гроші. Проте кредитні криптопротоколи — це автоматичні системи, які працюють за заздалегідь прописаними алгоритмами. Хакери «принесли» в такий цифровий ломбард підроблені витвори мистецтва (неліквідні rsETH). Оскільки система сприйняла ці токени як легітимні, вона автоматично видала під їхню заставу справжні ліквідні кошти — Ethereum (WETH). Зловмисники отримали реальну криптовалюту, залишивши протоколу натомість нічого не варті «фантики». Щоб остаточно замести сліди, отримані кошти були миттєво розпорошені між сотнями анонімних адрес. Це зробило процес відстеження та повернення активів надзвичайно складним завданням для аналітиків.
Контрдії
Адміністратори Kelp DAO активували "екстрену зупинку" для всіх смарт-контрактів, щоб запобігти подальшому виведенню коштів. Атака зачепила щонайменше 9 суміжних протоколів, команда розпочала термінову синхронізацію з іншими DeFi-майданчиками для ізоляції пошкоджених пулів ліквідності.
У перші хвилини були підключені кібербезпекові команди, зокрема:
Cyvers:
Однією з перших виявила аномальну активність і підтвердила факт зламу
Halborn
Опублікувала детальний технічний звіт, де пояснила причину зламу — вразливість у конфігурації верифікатора кросчейн-мосту.
PeckShield
Направили сили на аналіз транзакцій.
Chainalysis та Elliptic
Відстеження вкрадених активів.
Після перших контрзаходів здавалось що ця історія піде по логічному шляху розслідування, комунікації і т.д. Проте через 20 хвилин відбулось те що могло вивести це пограбування ще на більш високий рівень категорізації наслідків.
Атака 2
Незважаючи на контрідії після вищевказаних подій, система була скомпрометована і хакери нанесли повторний удар.
Точкою входу виступили ті ж самі скомпрометовані RPC-вузли.
В той момент основні смарт-контракти вже були заморожені командами захисту і для атаки був вибраний інший шлях. Був надісланий новий пакет даних з фальшивим підтвердженням "спалювання" токенів на одній із мереж. Основна ідея поляагала у намаганні змусити міст випустити нову порцію незабезпечених rsETH уже в іншій мережі.
Концепція простими словами:
При відправці 100 монет з однієї мережі в іншу можна виділити декілька фаз.
Фаза 1
Мережа з якої відпр. монети фіксує їх умовне спалювання, формуючи по - суті блок данних який виступає в певній мірі як квитанція. Вона прямим текстом говорить: сформований запит на передачу певної кількості монет.
Фаза 2
Якщо це звязані мережі, по заданним перевірковим алгоритмам інша мережа починає приймати дані. Якщо верифікація пройдена уже на іншій мережі ініцієється випущення тих же 100 монет. Хакери відправили фальшиве повідомлення про успішні дії фази 1, якої насправді небуло. У випадку успіху було б отримано 95 - 105 млн дол. у вигляді rsETH.
Протидія безпекових команд
Окрім концентраії зусиль на наслідках попередньої атаки частина команд захищала "периметр". В результаті успішного розділення сил рада безпеки Arbitrum заблокувала спробу виводу коштів на рівні смарт - контрактів і атака зазнала невдачі.
Хто стоїть за атакою
Офіційних обвинувачень конкретним особам чи державним угрупованням висунуто не було. Основним підозрюваним у масштабній атаці на Kelp DAO, що відбулася у квітні 2026 року, є північнокорейське хакерське угруповання Lazarus Group (зокрема його підрозділ TraderTraitor). Попередні звіти від LayerZero Labs, а також аналіз компаній Chainalysis, Halborn та блокчейн-детектива ZachXBT, вказують на Lazarus Group як найімовірнішого виконавця.
Розслідування зламу Kelp DAO, що стався у квітні 2026 року, об’єднало міжнародні команди кібербезпеки, правоохоронні органи та спеціалізовані блокчейн-групи швидкого реагування. Оскільки атаку пов’язують із північнокорейським угрупованням Lazarus Group (зокрема підгрупою TraderTraitor), розслідування має глобальний характер.
Провідні команди розслідування
Команда Kelp DAO та аудитори
Працюють над усуненням вразливостей та відновленням даних з логів інфікованих вузлів.
LayerZero Labs
Провела аналіз власної інфраструктури (RPC-вузлів), що була використана як точка входу.
Рада безпеки Arbitrum
Орган управління мережі Arbitrum, який координував замороження активів.
США
Chainalysis
Надала детальний звіт, у якому підтвердила, що атака була спрямована на офф-чейн інфраструктуру, а не на смарт-контракти.
TRM Labs
Займаються активним відстеженням гаманців зловмисників у реальному часі.
Китай/Сінгапур
PeckShield
Допомагає відстежувати маршрути переведення вкрадених активів через різні протоколи конфіденційності.
Ізраїль
Cyvers
Однією з перших зафіксувала злом та надала технічний аналіз того, як хакери відмивали кошти через THORChain та BitTorrent.
Південна Корея
Активно співпрацює через розвідувальні дані щодо діяльності північнокорейських хакерів.
Міжнародна спільнота
Група швидкого реагування та безпеки SEAL. Долучилася до попереднього розслідування та допомогла мінімізувати подальші втрати.
Компенсація
Джерела коштів для компенсації:
Заморожені кошти ($71 млн)
Це ті самі активи на Arbitrum, які заблокувала Рада безпеки мережі. Їх повернули в Kelp DAO через спеціальне голосування управління.
Власний фонд казначейства
Команда Kelp використала накопичені комісії та частину власних резервів для покриття.
Продаж токенів KELP
Було проведено екстрений раунд фінансування через продаж токенів проекту венчурним фондам з великим дисконтом, щоб швидко отримати ліквідність.
План відновлення
Пріоритет роздрібним інвесторам
Звичайні користувачі, які тримали невеликі суми в rsETH, отримали доступ до виводу коштів першими.
Технічні "боргові розписки"
Для тих, хто не хотів чекати 6 місяців на повне повернення, Kelp випустила спеціальні токени kLoss. Вони представляли право на майбутню частку від прибутків протоколу. Користувачі могли або тримати їх до повної виплати, або продати на вторинному ринку тим, хто був готовий чекати.
Роль LayerZero
Оскільки злам стався через інфраструктуру LayerZero, компанія-розробник (LayerZero Labs) виділила грант у розмірі $10 млн як жест доброї волі для підтримки постраждалих користувачів, хоча юридично вони не визнали своєї повної вини.
6 квітня команда Kelp DAO офіційно оголосила про відмову від подальшого використання систем LayerZero та перехід на інфраструктуру Chainlink.
Статус на сьогодні
Більшість користувачів (понад 98%) повністю відновили свої позиції. Однак великі інституційні вкладники все ще знаходяться у процесі отримання останніх траншів згідно з графіком розблокування.
Висновок
Злам Kelp DAO офіційно став одним із найбільших пограбувань останніх років. Проте розслідування виявило, що за первинною атакою послідувала друга хвиля. Завдяки професіоналізму команд із кібербезпеки цей повторний напад вдалося повністю відбити, що скоротило потенційні збитки приблизно на 40%. Попри це, ситуація залишається складною. Питання захисту даних набуває критичного значення, враховуючи стрімке зростання кількості проєктів та перспективу трансформації криптосистем у повноцінний фінансовий фундамент цілих держав.

#KelpDAO #security #Chainlink #news #BinanceSquare

كشف مطورو Bitcoin Core عن تفاصيل ثغرة حرجة CVE-2024-52911، التي تسمح بإيقاف العقد في الشبكة عن بُعد أو تنفيذ كود خارجي. هذه هي أول مشكلة خطيرة في الذاكرة في تاريخ المشروع. أكثر من 43% من النودات لا تزال تحت التهديد، على الرغم من أن تكلفة الهجوم بالنسبة للقراصنة مرتفعة جدًا.

🛡️ خط دفاعك الجديد
لحماية مجتمع العملات الرقمية، أطلقت بينانس ميزة "الحماية عند السحب" المبتكرة! هذه الخاصية الجديدة تهدف إلى منع أي تحويلات قسرية أو غير مصرح بها من حسابك، مما يضيف طبقة أمان متطورة تحمي أصولك من أساليب الاحتيال المتطورة. تأكد من تفعيلها الآن!
⚖️ العدالة تأخذ مجراها
في أخبار مثيرة، القضاء الإسباني يحقق مع 6 لاعبين سابقين من نادي إشبيلية في أكبر قضية احتيال عبر NFTs بقيمة 24 مليون يورو! هذه القضية تذكرنا جميعاً بأهمية التحقق من أي مشروع قبل الاستثمار فيه.
💬 نصيحة اليوم
لا تشارك أبداً معلومات حسابك الحساسة مع أي شخص، وقم بتفعيل جميع ميزات الأمان المتاحة في حسابك على بينانس.
هل قمت بتفعيل ميزة "الحماية عند السحب" بعد؟
$BTC
#WithdrawalProtection #ScamAlert #NFTs #DYOR #security

الجميع يتحدث عن أمان العقود الذكية...

لكن المناقشات الأخيرة حول استغلال بروتوكول دريفت تكشف شيئًا أعمق: أحيانًا تكون أكبر تهديدات ويب 3 ليست في الشيفرة.
إنه النظام المحيط به.
ماذا حدث؟
يعتقد الباحثون الأمنيون الذين يحللون حادثة بروتوكول دريفت أن المهاجمين قد استغلوا نقاط الضعف المرتبطة بـ:
موافقات الملتسيغ
عمليات الحوكمة
تأخيرات تنفيذ المعاملات
الأمن التشغيلي
الخسائر المبلغ عنها كانت ضخمة، وسرعان ما أصبح الحادث واحدًا من أكثر المواضيع الأمنية مناقشة في DeFi هذا الأسبوع.

#Binance تستثمر باستمرار في أمان المنصة وحماية المستخدمين من خلال
مجموعة من تدابير الحماية، وضوابط المخاطر، وميزات الأمان التي يتحكم فيها المستخدم.

نهج أمني قوي لا يتعلق فقط بالاستجابة للتهديدات، بل يساعد المستخدمين
على تقليل المخاطر قبل حدوث الحوادث.

حماية السحب هي جزء من هذا النهج الأوسع، مما يمنح المستخدمين طريقة إضافية ل
تعزيز أمان الحساب من خلال السماح للمستخدمين بحظر جميع السحوبات على السلسلة لمدة
الفترة المختارة من 1 إلى 7 أيام

يمكنك تفعيل حماية السحب من تطبيق Binance أو من الويب: