Kelp DAO публично оспорил отчет, характеризующий инцидент с мостом rsETH как эксплойт, утверждая, что настройки по умолчанию LayerZero, а не преднамеренная атака, были ответственны за сообщенные потери в размере 290 миллионов $. Спор переосмысляет инцидент 18 апреля из внешней эксплуатации в сбой конфигурации инфраструктуры.
Что утверждал отчет об атаке на мост rsETH
Что было предположительно потеряно
Оценка безопасности, опубликованная CredShields, описала инцидент с мостом rsETH как эксплойт, затрагивающий инфраструктуру кроссчейн-моста Kelp DAO, сославшись на убытки примерно в 290 миллионов $. Отчет использовал формулировки, соответствующие преднамеренной внешней атаке.
Почему инцидент был описан как атака на мост
Отчет CredShields представил событие, используя терминологию эксплойта, подразумевая, что злоумышленник идентифицировал и использовал уязвимость в механизме моста. Эта характеристика поставила инцидент в один ряд с другими громкими взломами DeFi мостов, а не рассматривала его как операционный сбой.
Однако формулировка в самом заголовке сигнализирует о спорной характеристике. Ответ Kelp DAO, задокументированный в управленческой ветке Aave, напрямую оспаривает интерпретацию с акцентом на эксплойт.
Почему Kelp DAO оспаривает повествование об атаке
Центральное опровержение Kelp DAO
Контрпозиция Kelp DAO, представленная в обсуждении управления Aave, полностью отклоняет ярлык атаки. Протокол утверждает, что потеря произошла из-за того, как были настроены кроссчейн сообщения по умолчанию LayerZero, а не из-за того, что противник обнаружил новый путь эксплойта.
Это не незначительное семантическое различие. Классификация инцидента как атаки подразумевает халатность в безопасности при защите от внешних угроз. Классификация его как сбоя конфигурации перекладывает ответственность на настройки инфраструктуры по умолчанию и выбор интеграции.
Какие части отчета оспариваются
Kelp DAO оспаривает как механизм причинно-следственной связи, так и подразумеваемое повествование. Протокол не оспаривает, что потери произошли, но оспаривает характеристику CredShields того, как и почему произошли эти потери.
Конфликт конкретен: отчет CredShields приписывает причинность вектору эксплойта, в то время как управленческое опровержение Kelp DAO приписывает причинность параметрам по умолчанию LayerZero, которые были недостаточны для защищаемой стоимости.
Как настройки по умолчанию LayerZero стали центральной точкой
Роль настроек по умолчанию в версии событий Kelp DAO
Согласно изложению Kelp DAO в управленческой ветке, настройки по умолчанию LayerZero для кроссчейн проверки сообщений не имели гарантий безопасности, необходимых для ценных мостовых активов. Протокол утверждает, что эти заводские настройки по умолчанию создали условия для потери без необходимости сложного эксплойта.
Настройки по умолчанию в кроссчейн сообщениях определяют, как транзакции проверяются между сетями. Если их не изменить, они могут применять один и тот же порог проверки к переводу в 100 $ и переводу в 100 миллионов $, создавая риск пропорциональный стоимости без пропорциональной безопасности.
Почему проблема конфигурации отличается от заявления об атаке
Если формулировка Kelp DAO верна, инцидент становится вопросом общей ответственности между протоколами, которые строятся на кроссчейн инфраструктуре, и уровнями обмена сообщениями, от которых они зависят. Это принципиально отличается от сценария, когда внешний злоумышленник обнаружил уязвимость нулевого дня.
Отдельный отчет, отмечающий признание LayerZero Группы Lazarus в качестве вероятного участника в связанных кроссчейн инцидентах, добавляет сложности. Существование государственных злоумышленников, нацеленных на инфраструктуру моста, не подтверждает автоматически ни эксплойт, ни конфигурационную формулировку для этого конкретного инцидента.
Что означает потеря 290 миллионов $ для rsETH и риска DeFi
Почему цифра в 290 миллионов $ имеет значение
Сообщенная потеря помещает это в число крупнейших инцидентов DeFi в 2026 году. Для держателей rsETH и протоколов с экспозицией rsETH, определение первопричины напрямую влияет на ожидания восстановления, страховые претензии и доверие к активу в будущем.
Обсуждение управления Aave отражает, как нижестоящие протоколы переоценивают экспозицию к ликвидным рестейкинговым токенам. Когда происходит инцидент с мостом такого масштаба, контрагенты должны оценить, соответствует ли инфраструктура базового актива их стандартам риска, что является проблемой, похожей на те, которые возникают, когда учреждения держат значительные позиции ETH в сложных механизмах хранения.
Вопросы, которые держатели rsETH и контрагенты будут задавать дальше
Спор о классификации имеет практические последствия. Если инцидент будет признан сбоем конфигурации, ответственность может частично лечь на LayerZero за неадекватные настройки по умолчанию и частично на Kelp DAO за то, что они их не переопределили. Если будет признан эксплойтом, Kelp DAO столкнется с более жестким контролем над дизайном безопасности моста.
Проекты, создающие кроссчейн функциональность, включая те, которые стремятся к новому финансированию для развития инфраструктуры, столкнутся с более жесткими вопросами о своих конфигурациях уровня обмена сообщениями. Инцидент подчеркивает пробел в стандартах безопасности DeFi: в настоящее время нет отраслевого требования, предписывающего протоколам переопределять настройки моста по умолчанию перед запуском с пользовательскими средствами.
Для протоколов, озабоченных ответственным управлением и прозрачностью, спор подчеркивает, что классификация инцидента не является чисто академической. Она определяет, кто платит, кто восстанавливает доверие и что меняется в том, как развертывается кроссчейн инфраструктура.
Часто задаваемые вопросы об инциденте с Kelp DAO и rsETH
Подтвердил ли Kelp DAO атаку на мост rsETH?
Нет. Kelp DAO явно оспаривает характеристику "атака" в управленческой ветке Aave, утверждая, что потеря произошла в результате настроек конфигурации по умолчанию LayerZero, а не преднамеренного эксплойта внешним злоумышленником.
Что Kelp DAO обвинил в потере 290 миллионов $?
Kelp DAO указал на настройки по умолчанию LayerZero для кроссчейн проверки сообщений, утверждая, что эти настройки по умолчанию были неадекватными для защиты стоимости, проходящей через мост.
Почему настройки по умолчанию LayerZero являются центральными в споре?
Настройки по умолчанию определяют, как проверяются кроссчейн сообщения. Kelp DAO утверждает, что неизмененные настройки по умолчанию создали пробел в безопасности, который привел к потере, что делает это проблемой ответственности за конфигурацию, а не новым эксплойтом.
Это представляется как взлом или проблема конфигурации?
Обе формулировки существуют в публичной записи. Отчет CredShields использует язык эксплойта, в то время как управленческое опровержение Kelp DAO приписывает потерю настройкам по умолчанию. Классификация остается спорной по состоянию на апрель 2026 года.
Отказ от ответственности: Эта статья предназначена только для информационных целей и не является финансовым или инвестиционным советом. Рынки криптовалют и цифровых активов несут значительный риск. Всегда проводите собственное исследование перед принятием решений.
Источник: https://coincu.com/defi/kelp-dao-rseth-bridge-attack-report-layerzero-290m-loss/
