Мир децентрализованных финансов (DeFi) вновь столкнулся с серьезным испытанием на прочность. Недавний взлом протокола Kelp DAO, в результате которого было похищено rsETH на сумму $292 миллиона, спровоцировал цепную реакцию, затронувшую одного из гигантов рынка — кредитный протокол Aave. Этот инцидент не только стал крупнейшим эксплойтом 2026 года, но и обнажил системные риски, поставив под вопрос доверие к всей экосистеме DeFi.
✅Как осуществлялась атака на Kelp DAO?
Атака на Kelp DAO произошла 18 апреля 2026 года и была направлена на кросс-чейн мост протокола, построенный на базе технологии LayerZero. Злоумышленники использовали сложную и многоступенчатую схему, чтобы обмануть мост и заставить его выпустить 116 500 токенов rsETH (liquid restaking token) на адрес, контролируемый хакерами.
Вот как хакеры смогли провернуть эту операцию:
- Уязвимость в настройках: Kelp DAO, вопреки рекомендациям, использовал для своего моста конфигурацию с одним верификатором (single-verifier). Это сделало систему более уязвимой для манипуляций, так как для контроля над мостом достаточно было скомпрометировать всего один узел проверки.
- Захват контроля над верификацией: Хакеры скомпрометировали два RPC-узла (точки доступа к блокчейну), на которые полагался единственный верификатор LayerZero. Одновременно они провели DDoS-атаку на остальные узлы, чтобы парализовать их работу. Это вынудило систему переключиться на скомпрометированные узлы, передав злоумышленникам полный контроль над процессом проверки кросс-чейн транзакций.
- Выпуск фальшивых rsETH: Получив контроль над верификацией, хакеры смогли инициировать выпуск огромного количества rsETH, не имеющего реального обеспечения, прямо на свои кошельки. Эти фальшивые токены стали основой для дальнейших манипуляций.
После выпуска токены были быстро развернуты. Злоумышленник «немедленно разместил их в протоколах кредитования, в основном Aave, чтобы взять в долг реальные ETH».
💰Резкое увеличение заимствований на Aave: $300 миллионов за один день
После успешного взлома Kelp DAO, злоумышленники немедленно использовали украденные rsETH для получения ликвидности. Они внесли эти токены в качестве залога на кредитный протокол Aave V3, который ранее включил rsETH в список поддерживаемых активов. Используя rsETH как обеспечение, хакеры заняли около $196 миллионов в Wrapped Ether (WETH).
Это событие спровоцировало настоящую панику и цепную реакцию на Aave:
🔸Падение TVL: Общая заблокированная стоимость (TVL) на Aave обрушилась на $6.6 миллиарда, с $26.4 миллиарда до менее $20 миллиардов. Пользователи в спешке выводили свои средства, опасаясь дальнейших проблем.
🔸Падение токена AAVE: Нативный токен Aave упал на 16% на фоне новостей о взломе и массовом выводе средств.
🔸Образование «плохого долга»: Поскольку украденные rsETH потеряли свою ценность после взлома Kelp, залог хакеров на Aave стал обесцененным. Это привело к образованию «плохого долга» (bad debt) в размере примерно $196 миллионов, который теперь висит на протоколе Aave.
🧠 Чего мы до сих пор не знаем?
Несмотря на оперативную реакцию сообщества и аналитиков, некоторые вопросы остаются открытыми:
🔸Полный объем убытков: Хотя прямой ущерб от взлома Kelp DAO оценивается в $292 миллиона, а «плохой долг» на Aave в $196 миллионов, общий объем средств, затронутых инцидентом (включая потенциальные убытки на других протоколах, таких как Compound и Euler), может быть выше. Некоторые оценки говорят о $236 миллионах «плохого долга» по всей экосистеме.
🔸Покрытие убытков: Сможет ли резервный фонд Aave (Umbrella reserve) полностью покрыть образовавшийся дефицит? Если нет, то держатели stkAAVE (стейкеры Aave) могут понести убытки, что станет серьезным прецедентом.
🔸Окончательная атрибуция: Хотя Lazarus Group предварительно названа виновной, окончательное подтверждение причастности требует дальнейшего расследования.
💼Серьезный удар по доверию к DeFi
Инцидент с Kelp DAO и его последствия для Aave стали серьезным ударом по доверию к децентрализованным финансам. Он обнажил несколько критических проблем:
🔸Системный риск: Даже самые крупные и, казалось бы, надежные протоколы, такие как Aave, уязвимы через активы, которые они принимают в качестве залога. Безопасность одного протокола теперь тесно связана с безопасностью других, особенно кросс-чейн мостов.
🔸Уязвимость мостов: Кросс-чейн мосты остаются одним из самых слабых звеньев в инфраструктуре DeFi. Их сложность и необходимость взаимодействия с различными блокчейнами делают их привлекательной мишенью для хакеров.
🔸Проблема «жидкого рестейкинга» (Liquid Restaking Tokens): rsETH, как и другие LRT, были приняты в качестве залога многими протоколами из-за их доходности и растущей доли в Ethereum. Однако их риск-модели не учитывали сценарий, при котором базовый актив полностью обесценивается из-за взлома моста, не связанного напрямую с Aave.
Этот инцидент — болезненное напоминание о том, что инновации в DeFi идут рука об руку с высокими рисками. Сообществу предстоит извлечь уроки из этого события, чтобы укрепить безопасность и восстановить доверие пользователей.
