Після експлуатації протоколу KelpDAO з втратою 292 млн $ через rsETH 19 квітня, на ринку активізувалися масштабні відповіді з боку ключових проєктів ринку – BitGo, Polygon і Katana оперативно вжили заходів для запобігання потенційному поширенню ризиків.
Внаслідок атаки було виведено 116 500 rsETH з кросчейн-моста KelpDAO, побудованого на LayerZero, через підроблене повідомлення, що дозволило обійти налаштування Decentralized Verifier Network (DVN, децентралізованої мережі верифікації).
Протоколи ізолюють наслідки інциденту
BitGo спільно з BiT Global Trust деактивували DVN LayerZero OFT для Wrapped Bitcoin (WBTC) як запобіжний захід. Представники BitGo підтвердили, що активи користувачів лишаються у безпеці, та пообіцяли оперативно інформувати про зміни за появи нових деталей.
Polygon повідомив, що його основний ланцюг, Agglayer і вся екосистема не постраждали внаслідок інциденту. За заявою мережі, на сьогодні через Polygon безпечно опрацьовано понад 2 трлн $.
Katana призупинила маршрут OFT у Vaultbridge, де використовувалася конфігурація 2/3 DVN. Можливість переміщення через Agglayer, який застосовує zero-knowledge proofs (докази з нульовим розголошенням) замість proof-of-authority мультипідписів, залишалася повністю доступною.
Тим часом технічний директор та співзасновник Cyvers Меїр Долєв уточнив, що KelpDAO був лише у трьох хвилинах від втрати ще 100 млн $. Оперативне додавання адреси зловмисника у чорний список заблокувало повторну атаку, що могла реалізуватись упродовж другої спроби.
Лідери галузі вимагають впровадження структурних обмежень на швидкість транзакцій
Цей експлойт знову загострив дискусію щодо необхідності впровадження вбудованих лімітів для операцій у DeFi-протоколах. Учасник команди Ethena Гай Янґ переконаний, що емітенти активів мають додатково обмежувати транскордонні трансфери понад звичайні механізми LayerZero OFT.
«Ми доповнили стандартний OFT рішенням, що обмежує кросчейн-перекази до 10 млн $ на годину для кожного DVN, крім ліміту 10 млн $ на блок у mint контракту. Перше би убезпечило Kelp, друге – Resolv», – зазначив він.
У Ethena реалізовано конфігурацію, що обмежує потенційні збитки 10 млн $ з одного ланцюга за одну годину навіть у разі повної компрометації DVN. Янґ вважає таку мінімальну незручність для користувачів виправданою задля відвернення катастрофічних втрат.
Кеоне Хон, CEO й співзасновник Monad, пропонує інтегрувати у протоколи пулів кредитування «розумні ліміти» (smart caps), що регулюють швидкість зростання забезпечення.
У якості прикладу він навів експлойт Resolv у березні: зловмисник міг скільки завгодно емінувати токенів, але реально зміг вивести лише 24 млн $ через обмеження вихідних каналів.
На думку Хона, високі ліміти на емісію забезпечення слід трактувати радше як ризик для системи, а не свідчення її значущості. Обмеження, що перевищує поточне використання лише незначно та оновлюється поступово до реальної позначки, могло б зберегти 200 млн $ вкладникам rsETH, підрахував експерт.
Брідж KelpDAO наразі є наймасштабнішою DeFi-брехою 2026 року. Чи будуть протоколи впроваджувати структуровані обмеження, запропоновані лідерами ринку, значною мірою визначить масштаби майбутніх інцидентів.
