LayerZero публикует отчет об инциденте с rsETH: восстановление затронутой инфраструктуры и повышение уровня безопасности кросс-чейн

Кросс-чейн интероперабельность стала ключевым элементом DeFi в 2025-2026 годах: токены ликвидного рестейкинга, мультичейн-кредитные платформы и стандарты омничейн-выпуска предполагают безопасное перемещение активов между сетями. Однако инцидент с rsETH служит напоминанием о том, что безопасность моста — это не только смарт-контракты, но и проверка вне сети, целостность инфраструктуры и выбор конфигураций.

После взлома KelpDAO rsETH (18 апреля 2026 г.) LayerZero опубликовал подробное заявление об инциденте и последующее обновление, объясняющее, как подделанное кросс-чейн-сообщение было в конечном итоге принято в рамках одноверификаторской настройки, а также какие операционные и политические изменения компания вносит в дальнейшем. Оригинальные отчеты можно прочитать здесь: Заявление об инциденте KelpDAO и Обновление LayerZero.

---

Что произошло (и что не произошло)

Последствия: мост rsETH опустошен с помощью поддельного сообщения

18 апреля 2026 года злоумышленник заставил маршрут моста rsETH KelpDAO на базе LayerZero выпустить примерно 116 500 rsETH (примерно 292 млн долларов на тот момент), добившись проверки и исполнения поддельного кросс-чейн-сообщения в сети Ethereum. LayerZero подчеркнул, что это было изолировано конфигурацией rsETH KelpDAO, а сам протокол LayerZero не был скомпрометирован. См. сводку LayerZero в заявлении об инциденте.

Атрибуция: связанная с КНДР группировка «TraderTraitor»

LayerZero заявил, что имеет предварительную уверенность в том, что злоумышленником был высококвалифицированный государственный актер, и приписал инцидент группировке Lazarus из КНДР, в частности, кластеру «TraderTraitor», упомянутому властями США. Для получения информации о тактике «TraderTraitor» (социальная инженерия, доставка вредоносного ПО и таргетинг на крипто-организации) обратитесь к совместному предупреждению США: Предупреждение CISA о «TraderTraitor» (AA22-108A).

Что не было скомпрометировано (по данным LayerZero)

В заявлении об инциденте LayerZero прямо указал, что атака не была результатом ошибки протокола LayerZero, и заявил, что ключи подписи DVN не были напрямую украдены. Вместо этого злоумышленник атаковал зависимости данных (RPC) DVN и сопутствующие предположения о доступности. Подробности — в заявлении об инциденте.

---

Основной сценарий отказа: «единственный верификатор» сталкивается с отравлением RPC + принудительным отказом

Объяснение LayerZero сосредоточено на растущем классе атак: отравление RPC (подача верификатору манипулируемого состояния цепочки) в сочетании с DoS / DDoS (принуждение системы полагаться на отравленные источники).

1) Нижестоящие RPC-узлы были скомпрометированы и выборочно солгали

По данным LayerZero, злоумышленник получил доступ к списку RPC-узлов, используемых DVN LayerZero Labs, скомпрометировал подмножество и изменил поведение узлов таким образом, чтобы DVN получал ложное состояние цепочки — в то время как многие системы мониторинга продолжали получать «нормальные» ответы. LayerZero описывает это выборочное обманчивое поведение в своем заявлении об инциденте.

Если вам нужна практическая основа, объясняющая, почему RPC-конечные точки представляют собой поверхность атаки с высоким рычагом для криптосистем, обзор Chainstack будет полезен: Атаки с отравлением RPC в криптографии. Общее определение RPC в распределенных системах см. в обзоре IBM: Удаленный вызов процедур (RPC).

2) Атаковалась внешняя доступность RPC для запуска зависимости от скомпрометированных узлов

LayerZero сообщает, что DDoS-атаки на исправные внешние RPC-конечные точки привели к тому, что система отката DVN стала использовать отравленные конечные точки, что позволило проверить сообщение, связанное с транзакциями, которые на самом деле не происходили. Это «давление на доступность» является важным уроком для всех, кто разрабатывает системы внесетевой проверки: избыточность — это не только наличие большего числа конечных точек; это способность выдерживать целевые сбои, не доверяя ошибочным.

3) Конфигурация KelpDAO DVN 1 из 1 превратила компрометацию в убыток

Наиболее важная деталь конфигурации: маршрут rsETH KelpDAO использовал настройку DVN «1 из 1», причем LayerZero Labs выступал в качестве единственного верификатора. LayerZero утверждает, что это создало единую точку отказа — не было независимого верификатора, который мог бы отклонить поддельное сообщение. Это напрямую обсуждается в заявлении об инциденте.

Стороннее углубленное исследование, отражающее аспект «почему это было важно для риска DeFi», представлено в аналитической записке Galaxy: Анализ эксплойта KelpDAO / LayerZero.

---

Почему этот инцидент важен не только для одного моста

Реальность 2025-2026 годов: «инфраструктурные эксплойты» масштабируются быстрее контрактных

Разговоры о безопасности DeFi по-прежнему чрезмерно фокусируются на аудитах и ​​ошибках в сети. Однако многие из крупнейших инцидентов теперь напоминают корпоративные вторжения: компрометация конечных точек, подмена цепочки поставок, перехват сеансов и атаки на доступность, за которыми следует извлечение средств в сети.

В случае с rsETH сетевые контракты функционировали как задумано; входные данные для процесса проверки были отравлены.

Компонуемость DeFi превратила опустошение моста в шок ликвидности

Основная последующая проблема заключалась в том, как необеспеченный или скомпрометированный залог распространяется на кредитные рынки. Послеинцидентный анализ выявил, как быстро шоки доверия могут исчерпать ликвидность, даже если основной код кредитного протокола работает должным образом. Отчет Glassnode предлагает взгляд на структуру рынка: Анатомия замораживания ликвидности.

---

Ответ LayerZero: сдвиги в политике, усиление конфигурации и изменения DVN

Публикации LayerZero описывают три практических направления:

1) «Больше никаких 1 из 1» для DVN LayerZero Labs

LayerZero заявляет, что не будет подписывать/подтверждать сообщения для приложений, использующих конфигурацию DVN «1 из 1», и что компания связывается с проектами, которые все еще работают с одноверификаторскими настройками. Это изложено в заявлении об инциденте и подтверждено в обновлении LayerZero.

2) Повысить базовый уровень по умолчанию, но подтолкнуть команды к фиксированию конфигураций

В своем обновлении от 8 мая LayerZero рекомендует разработчикам:

• Фиксировать конфигурации (не полагаться на изменяемые значения по умолчанию)
• Использовать более высокое количество подтверждений блоков, соответствующее сети
• Применять избыточность с несколькими DVN (минимум 2, в идеале 3–5)

Эти рекомендации перечислены в обновлении LayerZero. Для разработчиков LayerZero также ссылается на контрольный список интеграции в своей документации: Контрольный список интеграций LayerZero.

3) Перестроить и заменить затронутые компоненты RPC

LayerZero заявляет, что затронутые RPC-узлы были выведены из эксплуатации и заменены, а операции DVN возобновлены с изменениями в кворуме RPC и предположениях о резервировании (подробности в заявлении об инциденте и обновлении).

Хотя внутренняя архитектура безопасности каждой команды отличается, это направление соответствует более широкому мышлению в стиле «нулевого доверия»: минимизировать права доступа, сегментировать производственные системы и по умолчанию рассматривать внутренние сети как враждебные, особенно когда ваша система действует как верификатор внешних средств.

---

Практические выводы для разработчиков: контрольный список безопасности кросс-чейн-мостов на 2026 год

Если вы разрабатываете или интегрируете омничейн-активы (обертки типа OFT, канонические мосты, деривативы рестейкинга), инцидент с rsETH предполагает четкий порядок приоритетов:

1. Устранить одностороннюю проверку

   • Требовать N из M независимых верификаторов (а не «два бренда на одном стеке»).
   • Независимость должна включать: организацию-оператора, хостинг, источники RPC, мониторинг и реагирование на инциденты.

2. Усилить доверие к RPC и логику отказов

   • Относиться к RPC-конечным точкам как к недоверенным входным данным.
   • Гарантировать, что отказы не снижают безопасность незаметно (например, «если конечные точки сбоят, доверять меньшему количеству конечных точек» — опасно).
   • Внедрить поведение в «ограниченном режиме»: приостановить проверку, а не принимать более слабые доказательства под давлением.

3. Разрабатывать с учетом враждебной доступности

   • Полагать, что целевые DDoS-атаки являются частью цепи уничтожения.
   • Моделировать, что происходит, когда доступны только подконтрольные злоумышленнику подмножества.

4. Сделать видимой позицию безопасности

   • Публиковать ваши предположения о проверке на панели мониторинга или в документации:
     • Набор DVN, пороговые значения, подтверждения, ключи приостановки, экстренные процедуры
   • Пользователи и команды по управлению рисками должны видеть риск конфигурации до инцидента.

---

Практические выводы для пользователей: как снизить экспозицию к кросс-чейн-рискам

Даже если вы никогда не напишете ни строчки кода, вы можете существенно снизить риски:

• Относитесь к мостовым активам как к отдельному классу риска по сравнению с «нативными» активами.
• Когда доходность выглядит одинаково в разных сетях, отдавайте предпочтение платформам, где залог зависит от меньшего количества внесетевых предположений.
• Храните только операционные балансы на L2 / мостовых представлениях; долгосрочные вложения храните в холодных хранилищах.

Самостоятельное хранение имеет значение: почему аппаратный кошелек по-прежнему является основным средством контроля

Инциденты, подобные rsETH, связаны с проверкой и инфраструктурой, но многие крупные потери по-прежнему начинаются с компрометации устройств, кражи учетных данных и социальной инженерии. Аппаратный кошелек снижает радиус поражения, изолируя приватные ключи от повседневного просмотра и вредоносного ПО рабочей станции.

Если вы серьезно относитесь к долгосрочному самостоятельному хранению, использование аппаратного кошелька, такого как OneKey, помогает гарантировать, что подписание транзакций остается вне вашей подключенной к Интернету среды — важный уровень защиты, когда более широкий экосистема сталкивается с все более профессиональными, связанными с государством угрозами.

---

Заключительная мысль: «конфигурации — это безопасность»

Эксплойт rsETH, вероятно, будет запомнен не столько как «взлом моста», сколько как системный урок: безопасность протокола теперь модульна, и самый слабый модуль (часто конфигурация + инфраструктура) определяет реальный риск.

По мере того как кросс-чейн-сообщения становятся стандартной инфраструктурой для DeFi и токенизированных активов, базовый уровень отрасли должен перейти от «аудированного кода» к «аудированным предположениям», включая разнообразие DVN, целостность RPC и безопасность отказов.