С момента атаки на кросс-чейн мост KelpDAO в апреле этого года, в результате которой было украдено около 292 миллионов долларов, ландшафт безопасности межсетевой инфраструктуры переживает серьезную перетасовку. По оценкам, около 40 миллиардов долларов активов уже перешли или находятся в процессе перехода с протокола LayerZero на протокол межсетевого взаимодействия Chainlink CCIP.
Атака произошла в ночь на 19 апреля. Злоумышленник вызвал функцию контракта LayerZero Endpoint V2, что привело к высвобождению контрактом моста KelpDAO примерно 116,5 тыс. токенов rsETH на сумму около 292 миллионов долларов. Сработавший механизм экстренной приостановки работы протокола предотвратил дальнейшие потери на сумму около 100 миллионов долларов.
После атаки LayerZero опубликовал заявление, в котором предположил, что злоумышленник является высококвалифицированным субъектом государственного уровня, вероятно, связанным с северокорейской группой Lazarus Group под названием TraderTraitor.
Ключевым элементом атаки стало компрометирование RPC-узлов, от которых зависит децентрализованная сеть валидаторов LayerZero, и проведение DDoS-атаки для вынужденного перехода системы на уже взломанные узлы, что позволило пропустить поддельные сообщения. Центральным спорным моментом инцидента стало то, что KelpDAO на тот момент использовал конфигурацию с одним валидатором (1-of-1), что создало единую точку отказа и было использовано злоумышленниками.
LayerZero признал, что разрешение своей официальной сети валидаторов обслуживать высокоценные транзакции в конфигурации 1/1 было серьезной ошибкой, и объявил о прекращении подписания сообщений для настроек с одним валидатором. KelpDAO указал, что эта конфигурация ранее появлялась как настройка по умолчанию в коде развертывания LayerZero. Независимо от распределения ответственности, эта атака обнажила уязвимость проверки кросс-чейн сообщений при определенных конфигурациях.
Волна миграции началась незамедлительно. 6 мая пострадавшая сторона KelpDAO первой объявила об отказе от LayerZero и полном переходе кросс-чейн инфраструктуры для rsETH на Chainlink CCIP, став первым крупным протоколом, покинувшим платформу.
Два дня спустя протокол стейкинга биткоина Solv Protocol перевел кросс-чейн инфраструктуру для своих токенов SolvBTC и xSolvBTC с общим объемом более 7 миллиардов долларов на CCIP, охватив все поддерживаемые цепочки.
В тот же день децентрализованный протокол перестрахования Re также перевел кросс-чейн решение для своего депозитного токена reUSD на CCIP, назначив его единственным кросс-чейн решением. Некустодиальный кредитный протокол Tydro также вошел в число первых мигрантов.
14 мая биржа Kraken объявила о замене LayerZero на Chainlink CCIP в качестве эксклюзивного провайдера кросс-чейн услуг для своих обернутых криптоактивов, включая обернутый биткоин kBTC, охватывая такие блокчейны, как Ink, Ethereum, Optimism и другие. 16 мая Lombard объявил об отказе от LayerZero и миграции активов, обеспеченных биткоином, на сумму более 10 миллиардов долларов на CCIP, используя стандарт кросс-чейн токенов с механизмом сжигания и чеканки.
Согласно данным DefiLlama, если учитывать только общую заблокированную стоимость (TVL) основных DeFi-протоколов, совокупный объем пяти упомянутых проектов превышает 34 миллиарда долларов. С добавлением институциональных обернутых активов общий масштаб миграции достигает уровня около 40 миллиардов долларов.
Coinbase еще в декабре 2025 года выбрала CCIP в качестве эксклюзивного провайдера взаимосвязи для всех своих обернутых активов, включая cbBTC, cbETH, cbDOGE, cbLTC, cbADA и cbXRP, совокупная рыночная стоимость которых на тот момент составляла около 70 миллиардов долларов. В январе 2024 года Circle также интегрировала CCIP для поддержки мультичейн-переводов USDC.
Рыночная реакция на эту миграцию доверия напрямую отразилась на динамике токенов.
Согласно данным CoinMarketCap, за последние 30 дней токен LINK вырос на 2,73% и торгуется на уровне 9,6 доллара, его рыночная капитализация составляет 69,8 миллиарда долларов, что стабильно удерживает его на 16-м месте на крипторынке. Для сравнения, токен ZRO за тот же период упал на 22,63%, до 1,34 доллара, его рыночная капитализация составляет 4,34 миллиарда долларов, а рейтинг опустился до 92-го места. LayerZero также столкнулся с дополнительным давлением в виде разблокировки 20 мая более 25,71 миллиона токенов ZRO на сумму около 34,45 миллиона долларов, что составляет 5,07% от объема обращения.

Согласно данным Dune, чистый отток средств из сети LayerZero за последние 30 дней составил около 20,1 миллиарда долларов.

За массовым переходом протоколов стоит заметное различие в архитектуре безопасности между Chainlink CCIP и LayerZero. Chainlink ранее, в апреле 2024 года, объявил о переходе CCIP в стадию полной доступности с поддержкой блокчейнов, таких как Arbitrum, Base, BNB Chain, Ethereum и других.
Chainlink CCIP глубоко интегрирован с децентрализованной сетью оракулов, состоящей из нескольких независимых операторов узлов, которые формируют уровень консенсуса вне цепи для наблюдения, проверки и отчетности о кросс-чейн событиях, а также дополнен независимой сетью управления рисками, обеспечивающей дополнительный мониторинг и защиту. Его механизм передачи токенов имеет встроенные функции, такие как ограничение скорости и блокировка времени для обновлений, формируя многоуровневую модель безопасности.

Согласно данным Dune, совокупный объем кросс-чейн переводов токенов через Chainlink CCIP превысил 20 миллиардов долларов. Среди них наибольшую долю занимают децентрализованные стейблкоины GHO и USDC — 22,4% и 20,2% соответственно, что соответствует суммам около 5,31 миллиарда долларов и 4,81 миллиарда долларов.
В отличие от этого, LayerZero использует высокомодульную пятиуровневую архитектуру, полностью разделяющую интерфейс, проверку и исполнение, что позволяет разработчикам самостоятельно комбинировать децентрализованные сети валидаторов и настраивать пороги проверки. Такая конструкция обеспечивает высокую гибкость, но также требует от приложений активного выбора и поддержания конфигураций безопасности.
Инцидент с KelpDAO высветил фатальный недостаток конфигурации с одним валидатором. На момент атаки доля протоколов, выбравших аналогичную конфигурацию 1/1, достигала 47%, что побудило множество проектов быстро переориентироваться на CCIP, где по умолчанию используется децентрализованная валидация и реализован более полный контроль безопасности.
9 мая LayerZero опубликовал извинения, признав, что неправильно подошел к коммуникациям в течение последних трех недель, и отметив, что следовало бы раньше напрямую разъяснить ситуацию, а не отдавать приоритет завершению посмертного анализа.
LayerZero подчеркнул, что сам протокол не пострадал, проблема заключалась в отравлении внутренних источников данных RPC, используемых LayerZero Labs DVN, а также в DDoS-атаке на внешних провайдеров RPC. Разрешение Labs DVN обслуживать высокоценные транзакции в конфигурации 1/1 было серьезной ошибкой. Официальный отчет о посмертном анализе будет вскоре опубликован совместно с внешними партнерами по безопасности.






