С момента атаки на мост KelpDAO в апреле этого года, в ходе которой было похищено около 292 миллионов долларов США, безопасность инфраструктуры межсетевых соединений переживает серьезную трансформацию. Согласно статистике, сейчас около 4 миллиардов долларов США уже перемещены или находятся в процессе перемещения с LayerZero на протокол межсетевой интероперабельности Chainlink (CCIP).
Атака произошла ночью 19 апреля, когда злоумышленник вызвал функцию контракта LayerZero Endpoint V2, что привело к высвобождению около 116 500 rsETH через мостовой контракт KelpDAO, что эквивалентно примерно 292 миллионам долларов США. Экстренный механизм приостановки протокола предотвратил дальнейшие потери на сумму около 100 миллионов долларов США.
После атаки LayerZero выпустила заявление, в котором предварительно определила атакующих как высокоорганизованных государственных деятелей, предположительно принадлежащих к группе Lazarus, связанной с Северной Кореей, — TraderTraitor.
Суть атаки заключается в заражении RPC-узлов, от которых зависит децентрализованная сеть верификаторов LayerZero, и принудительном переключении системы на скомпрометированные узлы с помощью DDoS-атаки, что позволяет пропустить поддельные сообщения. Основной спор вокруг инцидента связан с тем, что KelpDAO в тот момент использовала конфигурацию 1-of-1 с одним верификатором, что привело к созданию единой точки отказа.
LayerZero признала, что разрешение своему официальному валидационному сетевому узлу обслуживать высоконадежные транзакции в конфигурации 1/1 — это серьезная ошибка, и объявила о прекращении подписи сообщений для настроек с одним валидатором. KelpDAO отметила, что такая конфигурация ранее встречалась в коде развертывания LayerZero в качестве настройки по умолчанию. Независимо от распределения ответственности, эта атака выявила уязвимость верификации межцепочечных сообщений при определенных конфигурациях.
Волна миграций сразу началась: 6 мая пострадавшая сторона KelpDAO первой объявила об отказе от LayerZero и полном переводе мостов rsETH на Chainlink CCIP, став первым крупным протоколом, покинувшим LayerZero.
Через два дня протокол стейкинга биткоина Solv Protocol переключит свою межсетевую инфраструктуру SolvBTC и xSolvBTC с общей капитализацией более 700 миллионов долларов США на CCIP, охватив все поддерживаемые цепочки.
В тот же день децентрализованный протокол перестрахования Re перенес межсетевое решение для депозитного токена reUSD на CCIP и назначило его единственным межсетевым решением. Нетрестовый протокол кредитования Tydro также включен в список первых проектов, перенесенных.
14 мая Kraken объявила о замене LayerZero на Chainlink CCIP в качестве эксклюзивного межсетевого сервиса для своих обернутых криптоактивов, включая обернутый биткоин kBTC, охватывающего такие блокчейны, как Ink, Ethereum и Optimism. 16 мая Lombard объявила об отказе от LayerZero и переводе более чем 1 миллиарда долларов США биткоин-обеспеченные активы на CCIP с использованием межсетевого стандарта токенов с уничтожением и созданием.
Согласно данным DefiLlama, если учитывать только текущую общую сумму заблокированных средств в основных DeFi-протоколах, совокупный объем пяти крупнейших превышает 3,4 млрд долларов США; с учетом институциональных обернутых активов общий объем миграции составляет около 4 млрд долларов США.
Coinbase еще в декабре 2025 года выбрала CCIP в качестве единственного провайдера интероперабельности для всех своих обернутых активов, включая cbBTC, cbETH, cbDOGE, cbLTC, cbADA и cbXRP, общий рыночный капитал которых на тот момент составлял около 7 миллиардов долларов США. В январе 2024 года Circle также интегрировала CCIP для поддержки мультицепочечных переводов USDC.
Рынок отреагировал на этот переход доверия непосредственно динамикой токена.
Согласно данным CoinMarketCap, LINK за последние 30 дней вырос на 2,73% до 9,6 доллара США, рыночная капитализация составила 6,98 млрд долларов США, и он стабильно удерживает 16-е место на криптовалютном рынке. В качестве сравнения, ZRO за тот же период упал на 22,63% до 1,34 доллара США, рыночная капитализация составила 434 млн долларов США, и его позиция опустилась до 92-го места. LayerZero также сталкивается с дополнительным давлением из-за разблокировки более 25,71 млн токенов ZRO 20 мая, что составляет около 34,45 млн долларов США и 5,07% от оборота.
Согласно данным Dune, за последние 30 дней сеть LayerZero продемонстрировала чистый отток примерно на 2,01 млрд долларов США.
За массовым притоком протоколов стоит значительное различие в архитектуре безопасности между Chainlink CCIP и LayerZero. Chainlink ранее в апреле 2024 года объявила о полной доступности CCIP, поддерживая блокчейны Arbitrum, Base, BNB Chain, Ethereum и другие.
Chainlink CCIP глубоко интегрирован с децентрализованной сетью оракулов, состоящей из нескольких независимых операторов узлов, которые наблюдают, проверяют и сообщают о межцепочных событиях, а также используют независимую сеть управления рисками для дополнительного мониторинга и защиты. Механизм передачи токенов встроен с функциями ограничения скорости и таймлаук-апгрейда, формируя многоуровневую модель безопасности.
Согласно данным Dune, совокупная сумма межцепочечных переводов токенов через Chainlink CCIP превысила 2 миллиарда долларов США. Среди них наиболее высокую долю занимают децентрализованные стабильные монеты GHO и USDC — 22,4% и 20,2% соответственно, что соответствует примерно 531 миллиону и 481 миллиону долларов США.
Напротив, LayerZero использует высоко модульную пятиуровневую архитектуру, полностью разделяя интерфейс, проверку и выполнение, что позволяет разработчикам самостоятельно комбинировать децентрализованные сети проверки и настраивать пороги проверки. Такой подход обеспечивает большую гибкость, но требует от приложений активного выбора и поддержки безопасных конфигураций.
Событие KelpDAO выявило смертельный недостаток конфигурации с одним валидатором, когда протоколы, выбравшие конфигурацию 1/1, в одно время составляли до 47%, что побудило множество проектов перейти на CCIP с децентрализованной верификацией по умолчанию и более надежным контролем безопасности.
LayerZero опубликовала извинения 9 мая, признав неправильное управление коммуникацией за последние три недели и заявив, что следовало сразу сообщить о ситуации, а не сосредоточиться на подготовке отчета после инцидента.
LayerZero подчеркивает, что сам протокол не пострадал; зараженный источник данных использовался внутренним RPC LayerZero Labs DVN, в то время как внешние провайдеры RPC подверглись DDoS-атаке, что позволило Labs DVN в конфигурации 1/1 обслуживать высокоценные транзакции — это серьезная ошибка. Официальный отчет о последующем анализе будет опубликован совместно с внешними партнерами по безопасности в ближайшее время.