Только что разбирался в том, что произошло с Kelp DAO неделю назад, и честно говоря, это одна из самых жестоких историй DeFi за весь 2026 год. За 46 минут из экосистемы испарилось 293 миллиона долларов. Не ошибка кода, не уязвимость смарт-контракта - обычная ошибка конфигурации, которая стала системным кризисом.

Вот что произошло: злоумышленник использовал кросс-чейновый мост Kelp на LayerZero с конфигурацией DVN 1 из 1. По сути, вся валидация сообщений между цепями зависела от одного узла. Компрометировав или обманув этот узел, атакующий отправил поддельное сообщение, якобы подтверждающее блокировку активов. Мост выпустил 116,500 rsETH (примерно 18% всего оборотного предложения) на адрес злоумышленника - без блокировки реального ETH на исходной цепи. Токены буквально созданы из воздуха.

Дальше было еще хуже. Вместо того чтобы сливать токены на рынок, атакующий депонировал необеспеченную rsETH в Aave V3 как залог, занял 236 миллионов долларов реального WETH, потом повторил маневр на Aave V4. К тому времени, когда Kelp DAO заморозила контракты (18:21 UTC), реальные активы уже уходили. Две попытки слить еще по 100 млн - обе блокированы, но первый удар уже каскадировал по DeFi.

Aave оказалась в ловушке. Когда Kelp приостановила rsETH, все позиции по займам, обеспеченные этим активом, стали невозможны для ликвидации. Aave осталась с 196 миллионами долларов безнадежного долга. Пул WETH достиг 100% использования - некоторые пользователи временно не могли вывести свои средства. Паника распространилась мгновенно: вывод средств из Aave составил 5,4 миллиарда долларов за несколько часов. TVL упал с 26+ миллиардов до 22 миллиардов - потеря 6,6 миллиарда за день. Токен AAVE упал на 20% за 24 часа (сейчас торгуется около $95.54).

Самое страшное - это не была ошибка LayerZero. Это был выбор Kelp DAO использовать централизованную конфигурацию, которую протокол разрешает, но которая создает опасную единую точку отказа. Основатель Curve Finance Михаил Егоров прямо сказал: когда вы доверяете одной стороне, возможно всё.

Заражение распространилось на минимум девять платформ: SparkLend, Fluid, Lido (приостановила свой продукт EarnETH), Compound V3, Euler и другие. Даже Ethena временно приостановила свои LayerZero мосты в качестве меры предосторожности, хотя прямого воздействия не было.

Деньги? Почти наверняка потеряны. Злоумышленник уже отмыл средства через Tornado Cash, распределив ETH по нескольким кошелькам. Джастин Сан из Tron предложил "поговорить" с атакующим, но это выглядит как театр - след уже холодный.

Что это означает для отрасли? rsETH считалась доверенным активом, коррелированным с ETH. Неявное предположение: ликвидные токены стейкинга такие же безопасные, как базовый актив. Это предположение рухнуло. Kelp DAO остается с активом, который не может быть действительно продан, а Aave - с максимально заимствованным ETH, который никто не может вывести.

Ожидается, что индустрия ответит обязательными требованиями к множественным DVN для мостов и более строгими стандартами для кредитных протоколов. Но до тех пор rsETH в 20+ цепях остается в состоянии неопределенной поддержки, пока Kelp не опубликует проверенную сверку резервов.

Это не первый крупный взлом в этом году. В марте Resolv Labs потеряла 80 млн, 1 апреля Drift Protocol потеряла 285 млн (позже связано с северокорейскими акторами). CoW Swap, Zerion, Rhea Finance - всё в апреле. Совокупные потери DeFi в 2026 году уже превышают 450 миллионов долларов по примерно 45 протоколам. Глава безопасности Ledger говорит, что это "скорее всего, будет худшим годом для взломов".

Для инвесторов главный урок: композабельность DeFi режет в обе стороны. То, что делает экосистему мощной - взаимосвязанность - также делает её самым быстрым каналом заражения. Уязвимость в одном протоколе становится системным событием за минуты. Если вы держите rsETH или позиции в кредитных протоколах, внимательно следите за официальными объявлениями. Избегайте панических решений на неполной информации, но и не игнорируйте риск ликвидности даже на "безопасных" платформах.

Это жёсткий напоминание: в DeFi доверие - это не только технология, это архитектура. И архитектура Kelp DAO оказалась уязвимой не из-за кода, а из-за выбора конфигурации.