Совет безопасности Arbitrum заморозил 71 миллион USDT в хакерском ETH, связанном с эксплойтом KelpDAO

#ArbitrumFreezesKelpDAOHackerETH

Совет безопасности Arbitrum осуществил беспрецедентное экстренное вмешательство, заморозив 30 766 ETH стоимостью примерно 71 миллион USDT, связанных с эксплойтом KelpDAO, произошедшим 18 апреля 2026 года. Этот решительный шаг стал одним из крупнейших заморозок средств в истории DeFi и отмечает важное развитие в продолжающейся реакции на атаку моста rsETH на сумму 292 миллиона USDT, которая вызвала потрясения в экосистеме Ethereum Layer 2.

Фон эксплойта: атака на мост KelpDAO

Первоначальный эксплойт был направлен на мост rsETH, основанный на LayerZero, в KelpDAO 18 апреля 2026 года, в результате чего было потеряно около 292 миллионов USDT. Злоумышленник осуществил сложную операцию, создав неподдерживаемые rsETH токены и затем вывел более 200 миллионов USDT в реальном WETH из протоколов кредитования Aave, пока рынки не ввели защитные заморозки.

Методология атаки использовала уязвимости инфраструктуры межцепочечных мостов, при этом злоумышленник депонировал мошеннический rsETH в качестве залога на рынках Aave V3 и V4 как на Ethereum, так и на Arbitrum. В частности, эксплуататор взял взаймы 52 834 WETH на Ethereum и 29 782 WETH плюс 821 wstETH на Arbitrum, оставив Aave с плохой задолженностью на сумму от 124 до 230 миллионов USDT по моделям протокола.

Расследования безопасности связали атаку с группой Lazarus из Северной Кореи, которая нацелилась на инфраструктуру LayerZero Labs DVN, отравляя RPC-узлы в цепочке. Злоумышленник взломал два независимых RPC-узла, работающих на отдельных кластерах, что позволило манипулировать процессами проверки мостов без прямого соединения между скомпрометированными системами.

Экстренные меры Arbitrum

Совет безопасности Arbitrum принял меры 21 апреля 2026 года, реализовав экстренные технические меры для заморозки 30 766 ETH, хранящихся на адресе злоумышленника в Arbitrum One. Это вмешательство перевело средства на промежуточный кошелек, контролируемый механизмами управления, исключая доступ исходного злоумышленника к замороженным активам.

Ключевым аспектом этого действия было согласование с правоохранительными органами относительно личности и атрибуции злоумышленника. Совет безопасности подчеркнул, что заморозка была выполнена без воздействия на других пользователей или приложения Arbitrum, сохраняя целостность сети при решении конкретной угрозы безопасности.

Технический подход заключался в безопасном перемещении средств без изменения состояния цепочки или нарушения деятельности легитимных пользователей. Такое точное выполнение демонстрирует способность Совета безопасности реализовать целенаправленные вмешательства, сохраняя децентрализованные операции сети для неучаствующих участников.

Последствия децентрализации и реакция сообщества

Заморозка вызвала значительные дискуссии в криптосообществе относительно баланса между мерами безопасности и принципами децентрализации. Хотя действие предотвратило дальнейшие потери и защитило средства пользователей, оно также вызвало вопросы о степени централизованного контроля в ostensibly децентрализованных системах.

Наблюдатели отрасли сравнили это вмешательство с другими недавними случаями заморозки активов. Особенно участники сообщества противопоставили действия Arbitrum по заморозке украденных средств, связанных с государственными хакерами, другим ситуациям, связанным с возможной неправомерной заморозкой активов, подчеркивая важность легитимных процедур и прозрачных оснований таких мер.

Эксперт по безопасности в блокчейне Taylor Monahan охарактеризовал заморозку как коллективное "ограбление DPRK на 70 миллионов USDT", рассматривая вмешательство как защиту сообщества от государственно спонсируемых злоупотреблений, а не произвольный централизованный контроль. Такой взгляд подчеркивает защитную природу действия Совета безопасности.

Текущий статус и дальнейшие шаги

Замороженные 30 766 ETH остаются под контролем управляющего органа в промежуточном кошельке, недоступном для исходного злоумышленника. Средства останутся заблокированными до тех пор, пока руководство Arbitrum в сотрудничестве с соответствующими юридическими органами не определит дальнейшие действия.

Этот механизм выпуска, зависящий от управления, обеспечивает, что возврат средств осуществляется в соответствии с установленными процедурами принятия решений, а не односторонними административными мерами. Вовлечение юридических органов предполагает возможные пути возмещения пострадавших или другие законные распределения, хотя конкретные решения пока находятся в стадии обсуждения руководства.

Влияние на экосистему и управление рисками

Эксплойт KelpDAO и последующая реакция Arbitrum вызвали широкую переоценку безопасности межцепочечных мостов в протоколах DeFi. Aave уже заморозил рынки rsETH на V3 и V4, а основатель Stani Kulechov заявил о возможном постоянном исключении после завершения кризисных мер.

Инцидент подчеркивает системные риски в архитектуре DeFi, зависящей от мостов, где компрометация инфраструктуры может привести к цепной реакции по нескольким протоколам и цепочкам. Способность Arbitrum вмешиваться и замораживать активы демонстрирует ценность и сложность механизмов Совета безопасности в экосистемах Layer 2.

Технические и управленческие аспекты

Вмешательство Arbitrum охватывает примерно 25% от общего объема украденных средств, что указывает на значимость, но не на полное покрытие всех украденных активов. Остальные активы, вероятно, распределены по другим цепочкам и протоколам, усложняя полное восстановление.

Техническая возможность Совета безопасности выполнять точечные заморозки без нарушения работы сети демонстрирует высокий уровень подготовленности к чрезвычайным ситуациям. Такой подход балансирует необходимость быстрого реагирования с сохранением свойств децентрализованной сети, хотя наличие таких механизмов создает потенциальные централизационные уязвимости.

Общий контекст индустрии

Эксплойт KelpDAO происходит в период повышенной озабоченности безопасностью на рынке криптовалют, с несколькими заметными атаками, приписываемыми сложным группам злоумышленников. Атрибуция Lazarus Group особенно подчеркивает продолжающуюся целенаправленную работу государств по атаке инфраструктуры DeFi, что повышает требования к безопасности сверх обычных криминальных угроз.

Ответ Arbitrum может установить прецеденты для будущих мер безопасности, влияя на то, как другие сети Layer 2 и протоколы DeFi структурируют свои механизмы экстренного реагирования. Баланс между быстрым вмешательством и децентрализованным управлением остается актуальной областью развития протокольного дизайна.

Заключение

Заморозка Arbitrum 30 766 ETH, связанная с эксплойтом KelpDAO, стала важным событием в сфере безопасности DeFi. Хотя она предотвратила немедленные потери и продемонстрировала техническую возможность возврата активов, это также вызвало важные дискуссии о компромиссах между децентрализацией и экстренными мерами. Управляемое руководством хранение замороженных средств в ожидании юридической координации создает структурированный путь для возможного восстановления, хотя более широкие вопросы о безопасности мостов и рисках межцепочечной интеграции остаются актуальными вызовами для экосистемы.