2026 год: крупнейшее событие безопасности — взлом межцепочного моста Kelp DAO rsETH, потеря составила до 293 миллионов долларов, а также возникли крупные неплатежи в DeFi-протоколах, таких как Aave.

Обзор | Grok

Редактор | Wu Blockchain

19 апреля (событие фактически произошло 18 апреля около 17:35 UTC) криптовалютное сообщество взорвалось новостями о масштабной эксплуатации межцепочечного моста Kelp DAO rsETH.

Это крупнейшее с 2026 года событие в области DeFi по безопасности, с потерями около 292–293 миллионов долларов, прямо затронувшее примерно 116 500 rsETH (около 18% общего оборота rsETH).

Хакеры с помощью межцепочечного моста, управляемого LayerZero, подделали сообщения, создали на основном Ethereum-сетке большое количество rsETH без реального залога, после чего использовали эти «воздушные активы» в качестве залога в популярных протоколах кредитования Aave, Compound, Euler и других, одолжив около 236 миллионов долларов в реальных WETH/ETH и других активов, что привело к рискам плохого долга в сумме примерно 177–280 миллионов долларов. Инцидент быстро разгорелся на платформе X (бывший Twitter), обсуждения на китайском и английском языках за несколько часов превысили миллиард просмотров, вызвав широкие сомнения по поводу безопасности межцепочечных мостов, механизма повторного залога LRT и системных рисков DeFi.

Полная хронология события

Около 17:35 18 апреля UTC: началась атака. Хакеры использовали уязвимость в конфигурации Kelp DAO на межцепочечном мосте LayerZero (1/1 DVN, то есть установка одного децентрализованного проверочного узла), подделали межцепочечные сообщения и вызвали функцию lzReceive на основном Ethereum, выпустив 116 500 rsETH без реального залога. На платформе X сразу появились посты от нескольких отслеживающих цепочку пользователей (например, @zachxbt), указывающие хеш транзакции и аномальные записи о создании.

Промежуточная стадия атаки: хакеры использовали инструменты конфиденциальности Tornado Cash и другие для маскировки источника средств, затем быстро залили поддельный rsETH в 9 популярных протоколов кредитования, таких как Aave V3, Compound, Euler, и другие, в качестве залога для получения реальных ETH/WETH. Посты в сообществе X показывали, что использование кредитных пулов мгновенно достигло почти 100%, а объем выводимых средств за один день превысил 6,6 миллиарда долларов.

Ответ Kelp DAO: примерно через 46 минут после начала атаки мультиподписанный кошелек обнаружил подозрительную активность и срочно приостановил функции контрактов rsETH на основном и нескольких L2 сетях. Официальный аккаунт в X подтвердил «обнаружение подозрительной активности в межцепочечном мосте rsETH» и сообщил, что начато полное расследование совместно с командой LayerZero, аудиторами и специалистами по безопасности.

Вечер 18 апреля и до 19 апреля: официальный аккаунт Aave в X выпустил заявление о срочной блокировке рынка залога rsETH, чтобы предотвратить дальнейшее расширение плохого долга. Аналогичные меры приняли протоколы Compound, Euler и другие. Официальный аккаунт LayerZero в X ответил: «инцидент подтвержден, проводится расследование причины».

Весь процесс был задокументирован в реальном времени на X, многие лидеры мнений перепостили цепочные данные, особенно отметив крупные выводы средств со стороны крупных держателей, таких как Justin Sun, что усилило панику на рынке.

Анализ технических деталей (разработчики и исследователи безопасности на X)

По нескольким техническим постам в X (например, глубокий анализ @kittendong на китайском), основной уязвимостью атаки стала конфигурация Kelp DAO для LayerZero OApp (Omnichain Application): использование режима 1/1 DVN (один проверочный узел), что позволило хакерам подделывать межцепочечные проверки. Через тщательно сконструированные payload злоумышленники вызвали создание rsETH на целевой цепочке без реальных активов. По сути, механизм позволил злоумышленникам «выдавать себя за» активы на сумму почти 3 миллиарда долларов.

Далее, злоумышленники залили эти rsETH в протоколы кредитования как сверхзалог (over-collateralized), одолжив реальные ETH, что является классическим примером «атаки типа flash loan». Исследователи безопасности в X отметили, что это очень похоже на инцидент с мостом Nomad 2022 года, и выявили системный риск в комбинации «межцепочечного моста + LRT (Liquid Restaking Token)»: поскольку rsETH — это производный актив, его стоимость зависит от стейкинга ETH, но при этом механизм создания на межцепочке лишен достаточной децентрализации и проверки в реальном времени.

Также есть предположения, что злоумышленники могли использовать утечки приватных ключей или конфигураций в контракте Kelp DAO (расследование продолжается). Весь цепочка атаки выполнена эффективно и скрытно, а источники газа замаскированы через многоуровневую маскировку.

Официальные реакции и меры реагирования

Kelp DAO: официальный пост в X ясно заявил, что «приостановлены функции контрактов rsETH на нескольких цепочках, чтобы предотвратить дальнейшие потери», и пообещал «сотрудничество с LayerZero, аудиторами и специалистами по безопасности, публикацию предварительного отчета в течение 24–48 часов».

LayerZero: официальный аккаунт сообщил, что «команда проводит полное расследование причины инцидента и предоставит прозрачные обновления как можно скорее», а также призвал все проекты, использующие LayerZero, проверить настройки порога DVN.

Aave: в X опубликовано заявление о «заморозке рынка rsETH, безопасность ликвидности сохранена», однако сообщество опасается, что потенциальный размер плохого долга может достигнуть 280 миллионов долларов.

Другие пострадавшие протоколы (например, Compound, Euler) также выпустили аналогичные объявления, а в реальном времени в X публикуются обновления о мерах ограничения.

Влияние на рынок и цепная реакция

Инцидент вызвал сильный удар по рынку DeFi:

Цены токенов: токен AAVE за 24 часа упал на 17–19%, вызвав массовые ликвидации длинных и коротких позиций; нативный токен LayerZero ZRO снизился примерно на 20%; rsETH сильно отклонился от стоимости ETH, цена на него опустилась ниже ETH.

Ликвидность: использование ETH-пулов в протоколах вроде Aave достигло почти 100%, за один день изъято более 6,6 миллиарда долларов, общая TVL DeFi за короткое время сократилась почти на 100 миллиардов.

Эпидемия: аналитики в X построили «карту распространения», показывающую, что плохой долг может распространиться на всю экосистему LRT и межцепочечные активы.

Исторические сравнения: этот инцидент превзошел по потерям более 2,85 миллиарда долларов, зафиксированные 18 дней назад в протоколе Drift, став крупнейшим взломом в DeFi с 2026 года.

Многие посты прямо называют LayerZero 1/1 DVN «тайной бомбой», призывая все межцепочечные проекты срочно перейти на многоузловую проверку (минимум 2/3 или выше). Некоторые разработчики подчеркивают: «скорость не должна идти в ущерб безопасности».

Риски LRT и синтетических активов: сообщество в целом считает, что активы типа rsETH в межцепочечной среде недостаточно прозрачны, а @zachxbt и другие подчеркивают, что «активы без реального залога — это текущий главный уязвимый пункт».

Системные опасения в DeFi: аналитики моделируют возможные цепные реакции, советуют пользователям проверить свои позиции в Aave, Compound и других протоколах и вывести уязвимые средства. В комментариях на китайском много сообщений о «еще одном мостовом инциденте на миллиард долларов», «можно ли доверять DeFi?» и «требование повышения стандартов безопасности».

Некоторые посты хвалят быструю реакцию Kelp DAO (приостановка за 46 минут), полагая, что инцидент ускорит внедрение в отрасли решений на базе ZK, мультиподписей и мониторинга в реальном времени.

Общая атмосфера — «шок и настороженность», хотя некоторые разработчики считают, что «выявление проблем лучше, чем их скрытие, это поможет отрасли развиваться долгосрочно».

Выводы и рекомендации для индустрии

Этот инцидент с rsETH от Kelp DAO вновь напомнил, что даже у ведущих протоколов по повторному залогу есть системные уязвимости в дизайне межцепочечных мостов, конфигурации проверочных узлов и прозрачности залога. В сообществе X сформировалось консенсусное мнение:

Проектам необходимо немедленно провести внутреннюю проверку интеграции LayerZero и других межцепочечных решений, отдавать предпочтение более децентрализованным настройкам.

Пользователям стоит осторожно относиться к новым межцепочечным активам LRT, отдавать предпочтение проектам с высоким TVL и прозрачным аудитом, диверсифицировать риски.

Индустрия должна ускорить разработку стандартных рамок безопасности, таких как обязательное использование нескольких проверочных узлов, проверка в реальном времени и другие меры.

Расследование продолжается, Kelp DAO, LayerZero и пострадавшие протоколы будут продолжать обновлять информацию в X. Волатильность рынка сохраняется, безопасность — приоритет номер один. Всем участникам рекомендуется следить за официальными аккаунтами и избегать распространения слухов.