Powrót do strony głównej

Atak na KelpDAO: jak skradziono 293 mln USD przez jeden węzeł

Hakerzy skradziono 293 mln USD z KelpDAO, wykorzystując fakt, że projekt korzystał tylko z jednego węzła weryfikującego LayerZero. Atak obejmował włamanie do serwerów, atak DDoS i fałszowanie danych. Protokół LayerZero nie został zhakowany — problem wynikał z konfiguracji użytkownika.

Jak hakerzy oszukali KelpDAO i skradziono 293 mln USD

Predict

Sygnał na podstawie artykułu

Sygnał8/10
Kierunekdown
Skala5-12%
Horyzont1-3d
Pewnośćmedium

Czynniki

The $293M exploit on KelpDAO’s rsETH bridge caused immediate depegging risk and forced liquidations across Aave. The mechanism is loss of confidence in restaked assets’ redeemability, triggering sell pressure and collateral unwinding. Key risk: if KelpDAO compensates users or proves solvency, price could rebound quickly.

Zobacz wszystkie predykcje z tej daty

Tylko sygnał analityczny. To nie porada finansowa.

Advertisement 728x90

Jak hakerzy skradli 293 mln USD z KelpDAO: schemat ataku przez pojedynczy słaby węzeł

Hakerzy skradli prawie 300 mln USD, wykorzystując fakt, że projekt KelpDAO powierzył całą swoją ochronę jednemu technicznemu węzłowi. To nie był bezpośredni atak na protokół LayerZero — lecz luka w konfiguracji jednego z jego użytkowników. Skutki jednak dotknęły całej ekosystemu DeFi: inwestorzy masowo wyprowadzali środki, a rynek ponownie zastanawiał się, jak bezpieczne są mosty między blockchainami.

Dlaczego jeden węzeł to jak jedna brama do banku

Wyobraź sobie, że budujesz sejf na pieniądze. Zamiast zainstalować trzy zamki od różnych producentów, montujesz tylko jeden — i oddajesz klucz sąsiadowi. Jeśli sąsiad zostanie zmuszony lub popełni błąd, twój sejf zostanie otwarty. Dokładnie tak działała systemowa ochrona KelpDAO.

Protokół LayerZero umożliwia różnym blockchainom „rozmawianie” ze sobą — np. przenoszenie tokenów z Ethereum do Solany. W tym celu wykorzystuje tzw. węzły weryfikujące (verifiers). W idealnym przypadku powinno ich być kilka, niezależnych i rozproszonych na różnych serwerach. Jeśli jeden z nich skłamie, pozostałe go zablokują.

Google AdInline article slot

Jednak KelpDAO używał tylko jednego takiego węzła — tego dostarczonego bezpośrednio przez LayerZero. To naruszyło zasadę „nie kładź wszystkich jajek w jedno koszyk”. Hakerzy skorzystali z tej słabości.

Jak przebiegła ataka: kłamstwo, DDoS i zniknięcie śladów

Śledztwo wykazało, że sprawcy działali jak profesjonalni szpiedzy:

  • Najpierw uzyskali dostęp do listy serwerów (węzłów RPC), których LayerZero używa do komunikacji.
  • Następnie zdobyli kontrolę nad dwoma niezależnymi serwerami na różnych hostingach i zainstalowali na nich złośliwe oprogramowanie.
  • Potem te serwery zaczęły wysyłać do systemu fałszywe komunikaty: „oto przekaz tokenów”, choć w rzeczywistości żaden przekaz nie miał miejsca.
  • Aby system zdecydowanie skierował się do tych serwerów, hakerzy uruchomili atak DDoS na pozostałe węzły — zalali je fałszywymi zapytaniami, powodując przeciążenie.
  • System automatycznie przełączył się na „ciche” i „działające” zhakowane serwery — i uwierzył w kłamstwo.
  • Na końcu sprawcy usunęli wszystko: logi, ustawienia, kod złośliwy. Żadnych śladów.

W rezultacie hakerzy uzyskali 116 500 tokenów rsETH (Restaked ETH) — rodzaj „wzmocnionej” wersji Ethera stosowanej w systemach powtórnego stakingu. Następnie zastawili te tokeny na platformie Aave V3 i wzięli pożyczki w wETH. Platforma Aave zaakceptowała zastaw jako prawdziwy, choć aktywa zostały już skradzione. Powstała w ten sposób niezabezpieczona zadłużoność — i panika wśród użytkowników.

Google AdInline article slot

Korea Północna? Możliwe, ale bez dowodów

Zespół LayerZero stwierdził, że atak najprawdopodobniej przeprowadziła grupa Lazarus — znana organizacja hakerska z Korei Północnej. Jej pododdział TraderTraitor specjalizuje się w kradzieży kryptowalut. Analitycy jednak podkreślają: bezpośrednich dowodów na tę powiązaną nie ma. Jest to przypuszczenie oparte na stylu ataku i metodach maskowania.

Ważne: nawet jeśli chodzi o Lazarus, podatność wyniknęła nie z kodu LayerZero, lecz z konfiguracji KelpDAO. Sam protokół nie został zhakowany — po prostu został niepoprawnie wykorzystany.

Co jest ważne

  • KelpDAO korzystał tylko z jednego węzła weryfikującego, co naruszyło podstawową zasadę bezpieczeństwa DeFi.
  • Hakerzy przeprowadzili wieloetapowy atak: zdobycie dostępu do serwerów + atak DDoS + podmiana danych + kasowanie śladów.
  • Skradziono 116 500 rsETH, co odpowiada około 293 mln USD według cen rynkowych.
  • Atak nie wpłynął na inne projekty oparte na LayerZero — problem był lokalny, ale wywołał systemowy strach.
  • LayerZero został przywrócony, ale zaufanie do mostów tymczasowo ucierpiało.

Co to oznacza dla zwykłych użytkowników?

Jeśli trzymasz środki w protokołach DeFi — zwłaszcza nowych lub mało znanych — warto sprawdzić: jak dobrze rozproszona jest ich ochrona? Czy korzystają z kilku niezależnych źródeł weryfikacji? Większość dużych platform robi to obecnie poprawnie — ale nie wszystkie.

Google AdInline article slot

Ponadto takie ataki przypominają: nawet jeśli technologia działa doskonale, ludzki błąd (w konfiguracji, w wyborze parametrów) może zepsuć wszystko. Rynek kryptowalut dojrzewa — ale ryzyka pozostają, szczególnie tam, gdzie się spieszy z wdrażaniem nowości, nie sprawdzając podstaw.

— Editorial Team

Advertisement 728x90

Czytaj dalej

Wiadomości partnerów