#KelpDAOBridgeHacked KelpDAO rsETH Мостовая уязвимость: крупнейший DeFi-хак 2026 года

18 апреля 2026 года KelpDAO, известный протокол ликвидного повторного стекинга с более чем 1,3 миллиарда долларов общей заблокированной стоимости (TVL) до инцидента, пострадал от катастрофической уязвимости, нацеленной на его инфраструктуру кросс-чейн моста. Атака привела к краже примерно 116 500 токенов rsETH, оцененных примерно в 292-294 миллиона долларов на момент взлома, что делает её крупнейшим взломом в сфере децентрализованных финансов за 2026 год.

Вектор атаки

Уязвимость была направлена на rsETH-мост KelpDAO, основанный на протоколе межцепочечной передачи сообщений LayerZero. Злоумышленники обнаружили и использовали критическую уязвимость в функции lzReceive EndpointV2 LayerZero. Методика включала регистрацию тестовой сети через Unichain EID 30320 и эксплуатацию конфигурации одобрения 1 из 1 Decentralized Verifier Network (DVN). Это позволило злоумышленнику создать и передать поддельное межцепочечное сообщение, обходя стандартные протоколы валидации, что вызвало несанкционированное освобождение rsETH из хранилища без законных активов-обеспечений.

Украденные rsETH составляли примерно 18% от общего циркулирующего предложения токена, что вызвало немедленные системные опасения в экосистеме DeFi.

Каскадное распространение и кризис плохого долга

Вместо хранения украденных активов злоумышленник быстро использовал неподдерживаемый rsETH в качестве залога в нескольких кредитных протоколах, создавая цепную реакцию кризиса плохого долга:

- Aave V3 (Ethereum): -52 834 WETH заимствовано
- Aave V3 (Arbitrum): -29 782 WETH и 821 wstETH заимствовано
- Compound V3 и Euler: дополнительные займы на сумму от 23 до 59 миллионов долларов

Общий объем плохого долга по затронутым протоколам превысил $200 миллион, поскольку залог rsETH стал фактически бесполезен после приостановки протокола. Это сделало инцидент не просто уязвимостью моста, а событием распространения кризиса между протоколами, проверяющим устойчивость взаимосвязанной архитектуры DeFi.

Немедленное влияние на рынок

Уязвимость вызвала значительные реакции рынка и экстренные меры протоколов:

- Общий TVL Aave упал более чем на $7 миллиард из-за массовых выводов ETH, при этом показатели использования достигли 100% на затронутых рынках
- Снижение стоимости нативных токенов: $AAVE примерно на 20%, а $ZRO (LayerZero) примерно на 30%
- Внедрение экстренных заморозок на рынках Aave V3, V4, SparkLend, Fluid и Upshift для залога rsETH
- Lido Earn приостановил депозиты earnETH из-за опасений по поводу rsETH
- Несколько проектов, использующих LayerZero мосты, инициировали профилактические паузы

Появились вторичные риски, включая возможные сбои ликвидации ETH, сложности с поощрением заимствований USDT и концентрацию плохого долга на Arbitrum в развертывании Aave, которое может не иметь полного покрытия Umbrella.

Экстренные меры и текущий статус

Команда безопасности KelpDAO отреагировала примерно через час после обнаружения, запустив протокольную паузу в 18:21 UTC 18 апреля. Быстрая реакция успешно заблокировала две последующие попытки атаки. Команда выпустила официальные заявления, подтверждающие свою готовность к переговорам с «белыми хакерами» и проводит всесторонний анализ причин инцидента совместно с LayerZero, Unichain и сторонними аудиторами.

Управление Aave инициировало обсуждения по поводу размещения средств и возможных займов для покрытия выявленных недостатков, включая предложения по увеличению ставки ETH slope2 для управления стрессом протокола. Согласно анализу Chaos Labs, примерно $177 миллион плохого долга был урегулирован, хотя экспозиция на Arbitrum остается нерешенной.

Блокчейн-следователи, включая ZachXBT, проследили украденные средства до Tornado Cash, однако на данный момент успешное восстановление не зафиксировано. Аналитики прогнозируют возможные потери в размере 15-20% для держателей rsETH, связанных с мостами, а KelpDAO рассматривает механизмы социализации потерь или стратегии приоритезации держателей мейннета.

Влияние на индустрию

Этот инцидент представляет собой критическую точку для безопасности кросс-чейн мостов и композиции токенов ликвидного повторного стекинга (LRT). Уязвимость подчеркивает фундаментальные слабости в настраиваемых параметрах безопасности мостов, особенно риски, связанные с упрощенными конфигурациями DVN. Событие усилило внимание к стандартам безопасности архитектуры мостов и системным рискам, создаваемым высокой взаимосвязанностью протоколов DeFi.

Взлом KelpDAO превосходит предыдущий рекорд 2026 года, установленный взломом протокола Drift на сумму 280-285 миллионов долларов 1 апреля, что подчеркивает тревожную тенденцию к все более изощренным атакам на сложную кросс-чейн инфраструктуру. За апрель 2026 года зафиксировано более 1,2 миллиарда долларов потерь в криптовалюте по нескольким инцидентам, включая Domain hijacking атаки CoW Swap, что создает дополнительное давление на индустрию для укрепления инфраструктуры безопасности и внедрения более надежных систем управления рисками между протоколами.

Пострадавшие пользователи и участники рынка должны следить за официальными каналами KelpDAO и Aave для получения обновлений по восстановлению средств, механизмам компенсации и срокам повторного открытия протоколов.

#KelpDAO #DeFiSecurity #CryptoHack #BridgeExploit