Северокорейских хакеров обвинили в краже 300 млн долларов в крипте из KelpDAO
Изображение: recraft
Крупная атака на DeFi-проект KelpDAO с выводом около 293 млн долларов по предварительным данным связана с северокорейской группировкой Lazarus. Инцидент произошёл 18 апреля, когда команда проекта зафиксировала подозрительную межсетевую активность вокруг токена rsETH. Разработчики приостановили работу контрактов в основной сети Ethereum и решениях второго уровня, а расследование ведут совместно с партнёрами LayerZero и Unichain.
Атакующие вынесли около 116500 токенов rsETH из экосистемы проекта. Эти активы работают в механике ликвидного рестейкинга и позволяют участникам сохранять доходность, оставаясь при этом активными в DeFi-пространстве. После вывода средства прокатились через миксер Tornado Cash, изрядно запутавший цепочку отслеживания транзакций.
По данным LayerZero, удар пришёлся по уровню верификации межсетевых сообщений в протоколе. Злоумышленники скомпрометировали часть RPC-узлов, отвечавших за подтверждение данных, и одновременно завалили DDoS-атакой узлы, продолжавшие работать корректно. В результате система вынужденно опёрлась на искажённые сведения в момент принятия решений.
Дальнейшее развитие истории выглядит практически учебником по эксплуатации подобных систем. В сеть ушло ложное межсетевое сообщение, которое протокол принял за валидное и без сомнений подтвердил. Транзакции, фактически не происходившие в блокчейне, получили официальный статус, что позволило перебросить rsETH без какого-либо разрешения со стороны владельцев.
Предварительный разбор указывает на причастность Lazarus Group, давно связываемой с КНДР. В LayerZero высказали версию о подразделении TraderTraitor, за которым числится череда сложнейших атак на криптопроекты по всему миру. Почерк операции укладывается в их привычный стиль работы.
Волна от инцидента докатилась и до смежных протоколов экосистемы. В Aave заморозили использование rsETH в качестве залога и остановили новые операции с этим активом. Подобные меры призваны ограничить возможные последствия и удержать ситуацию от дальнейшего расползания по рынку.
Разработчики KelpDAO отмечают локальный характер пробоины в защите. Проблема замкнута на rsETH и не задела другие активы или приложения проекта, хотя сам инцидент уже занял место среди самых крупных по объёму потерь в 2026 году.
Lazarus Group ранее связывали и с налётом на Drift Protocol, где было похищено около 280 млн долларов. По итогам того расследования выяснилось, что операция готовилась примерно 6 месяцев и сопровождалась многоэтапной разведкой с проработкой деталей уязвимой инфраструктуры.
