😱💢💥DeFi теряет $292 миллион менее чем за час!

Одна ошибка в настройке открыла дверь. Один забытый мост, оставленный без достаточного количества глаз, — и всё. Самое крупное нарушение безопасности DeFi в этом году произошло не из-за гениальности, а из-за халатности.

18 апреля 2026 года. Время: 17:35 UTC. Кто-то вышел из LayerZero-моста Kelp DAO с 116 500 rsETH.. Этот улов? Почти $292 миллион. Прошло 46 минут, прежде чем Kelp остановил свои контракты. За это время было продано примерно $250 миллион украденных токенов, которые перевели в ETH с помощью кошелька, тихо пополненного ранее через Tornado Cash. Каждое движение было спланировано заранее. Ничего не оставлено на волю случая. Урон нанесен.

Этот взлом стал крупнейшей DeFi-атакой в 2026 году — ни одно другое происшествие не приблизилось по масштабам.

Что было взломано и каким методом

Море активности окружает Kelp DAO, оно функционирует как машина, позволяющая людям вносить ETH или определённые заложенные активы. Вместо того чтобы оставаться неподвижными, эти депозиты поступают в EigenLayer для получения дополнительных доходов со временем. Выходит rsETH, токен, который можно свободно обменивать или перемещать. Тут случилась проблема: связь между цепочками, которая держит резервы для обёрнутого rsETH, была повреждена. Эта связь поддерживает операции более чем в двадцати сетях. Arbitrum задаёт темп, затем идут Base, Linea, даже менее известные, такие как Blast и Scroll, все связанные в сеть.

Ложный сигнал прошёл через защиту LayerZero, обманув систему и заставив её принять повреждённые данные. Из-за этого соединение Kelp сработало так, будто разрешение поступило от доверенного источника. Начался перевод без реального разрешения. 116 500 rsETH были отправлены, диверсия произошла до того, как кто-то успел остановить её. Куда? На адрес, уже захваченный злоумышленником.

Всё началось с одного фальшивого сообщения. Взлом произошёл потому, что один мост поверил ему. После этого всё рухнуло.

Один подписант управлял одобрениями, поэтому только один участник имел полномочия на сделки. Из-за этого хакер смог пройти, подписав транзакцию на создание огромного количества rsETH без обеспечения на исходной сети. Михаил Егоров, основатель Curve Finance, прямо заявил: «Риски возникают, если всё полагается на одного человека».

Быстрая цепная реакция

Вот когда ситуация стала ещё хуже. Вор не только забрал деньги, но и превратил их в инструмент для большего вреда.

Волна заимствованного wETH прокатилась через Aave V3 после того, как хакеры направили украденный rsETH в протокол. Одна уязвимость спровоцировала цепную реакцию, и эффект распространился на большую часть децентрализованных финансов.

Объем средств снизился с 26,4 миллиарда долларов 18 апреля до почти $20 миллиарда к утру воскресенья в США, потеряв 6,6 миллиарда долларов, а токен AAVE упал на 16%. В связи с этим SparkLend, Fluid и Lido без промедления приостановили торговлю на рынках rsETH. Монета RAVE от RaveDAO рухнула на 90%, с $27,33 до всего лишь $1,15, потеряв более $5 миллиардов рыночной стоимости за один сеанс. Хотя стабильность ожидалась, хаос быстро распространился по платформам, как только начали проседать показатели.

Позже произошло ещё одно — две попытки вывести по 40 000 rsETH, около $100 миллиона, были остановлены, когда Kelp активировал аварийную остановку. Но это мало помогло, ведь уже исчезло $292 миллиона.

Это не случайность, а повторяющаяся цепочка

Правда в том, что 2026 год не балует безопасностью DeFi

В начале апреля был взлом протокола Drift, размещённого на Solana, — почти $285 миллион исчез за один раз. Инцидент связан с хакерами из Северной Кореи. Средства быстро исчезли во время эксплуатации.

Цепочка взломов затронула несколько платформ: сначала CoW Swap, затем Zerion, а потом Rhea Finance, которая неожиданно сдала оборону. Позже взломала Silo Finance, присоединившись к серии нарушений, происходящих неделями.

Только в первом квартале 2026 года мошенничество и взломы унёсли около $482 миллиона цифровых валют. Хотя крупные атаки были, мошенничество тоже сыграло свою роль в эти месяцы.

За выходные Kelp увеличился ещё на $292 миллиона.

Главный специалист по безопасности Ledger прямо заявил: «В целом, доверие к протоколам DeFi подорвано такими событиями. И 2026, скорее всего, станет худшим годом по количеству взломов».

Жёсткая реальность строительных блоков DeFi

Оказывается, то, что никто не хочет признавать: что делает DeFi гибким, одновременно ломает его при стрессовых ситуациях. Компонентность создаёт силу через связи, но эти связи становятся слабыми точками под давлением.

Один момент rsETH служил доверенной опорой для Aave, SparkLend, Fluid, Compound и Euler, так как изначально эти системы связаны открыто, что определяет смысл DeFi. Они позволяют друг другу свободно работать. Это заложено в дизайн. Но сразу после взлома фальшивые активы заполнили в основном Aave, использовали их быстро для вывода реального ETH через кредиты, превращая изолированный кражу в широкомасштабное напряжение.

Когда одна часть ломается, страдают все системы, которые на неё полагаются как на безопасность. Это не ошибка где-то отдельно. Так работает вся система.

Когда резерв моста исчерпан, держатели токенов вне Ethereum начинают сомневаться, поддерживаются ли эти токены ещё. Это вызывает поспешные выходы с цепочек layer 2, хотя поставка Ethereum при этом не страдает напрямую. Вдруг Kelp может понадобиться разбивать заново заложенные активы, чтобы покрыть запросы на вывод.

Одна неудача тянет за собой другую. Так всегда бывает.

Что нужно изменить

Что для этого требуется, не скрыто. Но прогресс всё ещё отстаёт от потребности

Мосты должны требовать несколько подписей вместо одной. Одна сломанная ключ не сможет их открыть, если нужны множественные одобрения. Одна слабая точка может выйти из строя, но вся система останется закрытой.

При вводе залоговых активов ужесточаются правила. Теперь кредитные схемы сталкиваются с давлением, проверка конструкции моста должна идти в первую очередь, а не вторую. Заложенные токены не пройдут без тщательного анализа их основы. Последовательность меняется: проверка — перед принятием, а не наоборот. Протоколы менее колеблются, когда структура подтверждена заранее. Безопасность зависит от времени, неправильный порядок может привести к большим потерям, чем задержки.

Эта задержка важна. Kelp дождался 20:10 UTC, чтобы что-то сказать, хотя взлом начался гораздо раньше. Прошло целых три часа, прежде чем их первое сообщение вышло. Такая тишина не подходит, когда системы уже начинают ломаться.

Когда мосты ведут себя странно, системы сразу останавливаются через кросс-протокольные автоматические выключатели, а не ждут часы, пока вмешаются люди. Сигналы запускают мгновенные отключения связанных сетей, а не задержки с исправлениями. Быстрые остановки происходят до того, как проблемы выйдут из-под контроля. Машины реагируют быстрее людей, когда связи показывают признаки опасности. Заморозки происходят автоматически, как только в коммуникационных каналах появляются аномалии.

Михаил Егоров видит в этом плюсы: «Криптовалюта — суровая среда, в которой ни один банк не выжил бы, но мы работаем в ней. DeFi извлечёт уроки из этого инцидента и станет сильнее, чем раньше».

Может быть. Хотя, когда уроки стоят по $292 миллион каждый, цены быстро растут.

Одна ошибка открыла дверь. Одно фальшивое сообщение прошло. Через 46 минут миллионы исчезли. Этот взлом чуть не превзошёл потерю Drift. Теперь он считается крупнейшим крахом DeFi в 2026 году. Связи между системами превратили мелкие трещины в полный крах.

На шаг впереди защитных мер мосты продолжают усложняться. Когда валидаторы не разнообразны, остаются слабые места. Правила залога тоже не успевают за развитием. Пока эти пробелы остаются открытыми, подобные истории будут повторяться. Не вопрос «если», а «когда».

Выживание DeFi не ставится под сомнение. Главное — насколько быстро оно сможет измениться, чтобы не появилось очередной $292 миллионной ошибки.

✅️ ПОДПИСЫВАЙТЕСЬ ДЛЯ БОЛЬШЕ✅️
$BTC ‌$SOL ‌#GatePreIPOsLaunchesWithSpaceX $XRP ‌