2026 Максимальна хвиля безпеки: міжланцюжковий міст Kelp DAO rsETH підданий хакерській атаці, збитки склали до 293 мільйонів доларів, у DeFi-протоколах, таких як Aave, виникли великі борги

Огляд | Grok

Редактор | Ву говорить про блокчейн

19 квітня (подія фактично сталася 18 квітня о 17:35 за UTC), криптовалютна спільнота масово обговорює масштабну зловживання Cross-Chain мостом Kelp DAO rsETH.

Ця подія — найбільша за масштабами з 2026 року безпекова інцидент у DeFi, з втратами близько 292–293 мільйонів доларів США, безпосередньо зачепила близько 116 500 rsETH (приблизно 18% від загального обігу rsETH).

Хакери через крос-ланцюговий міст, керований LayerZero, підробили повідомлення, викликавши створення великої кількості rsETH без реального забезпечення на основі фальшивих повідомлень у мережі Ethereum, а потім використали ці «повітряні активи» як заставу у провідних кредитних протоколах Aave, Compound, Euler тощо, позичивши близько 236 мільйонів доларів у реальних WETH/ETH та інших цінних активах, що спричинило ризик непогашення боргів у сумі від 177 до 280 мільйонів доларів. Подія швидко розгорілася на платформі X (колишній Twitter), кількість обговорень у китайській та англомовній спільноті за кілька годин перевищила мільярд, викликавши широкі сумніви щодо безпеки крос-ланцюгових мостів, механізмів повторного залучення LRT та системних ризиків у DeFi.

Повна хронологія події

18 квітня, близько 17:35 за UTC: офіційно розпочато атаку. Хакери використали вразливість у конфігурації Kelp DAO на LayerZero Cross-Chain мосту (1/1 DVN, тобто один децентралізований вузол верифікації), підробивши повідомлення для виклику функції lzReceive у мережі Ethereum, що дозволило створити 116 500 rsETH без реального забезпечення. На платформі X кілька трекерів (наприклад, @zachxbt) одразу опублікували повідомлення з хешами транзакцій та записами про аномальне створення.

Проміжна фаза атаки: хакери використали інструменти приватності Tornado Cash для маскування джерела коштів, а потім швидко внесли підроблений rsETH у 9 провідних кредитних протоколів, таких як Aave V3, Compound, Euler, використовуючи його як заставу для позичання реальних ETH/WETH. В реальному часі спільнота X повідомляла, що коефіцієнт використання пулів кредитування миттєво зріс майже до 100%, а обсяг виведення коштів у деяких протоколах за один день перевищив 6,6 мільярдів доларів.

Реакція Kelp DAO: приблизно через 46 хвилин після початку атаки мульти-підписаний гаманець Kelp DAO виявив підозрілі дії і терміново призупинив функціонал rsETH на основних мережах та кількох L2. Офіційний акаунт у X одразу підтвердив «виявлення підозрілої активності у крос-ланцюговому rsETH» та повідомив, що почато повне розслідування у співпраці з командою LayerZero, аудиторами та експертами з безпеки.

Вечір 18 квітня і до 19 квітня: офіційний акаунт Aave у X опублікував заяву про тимчасове блокування ринку застав rsETH, щоб запобігти подальшому розширенню непогашених боргів. Аналогічно, протоколи Compound, Euler та інші почали призупиняти або обмежувати операції з відповідними активами. Офіційний акаунт LayerZero у X відповів: «Ми знаємо про інцидент і проводимо розслідування причин».

Весь процес був у реальному часі транслювався у X, багато аналітиків поширювали дані з блокчейну, зокрема згадували, що великі гравці, такі як Justin Sun, масово виводили кошти з Aave, що ще більше посилило паніку на ринку.

Аналіз технічних деталей (розробники та дослідники безпеки у X)

Згідно з кількома технічними постами у X (наприклад, глибокий аналіз @kittendong українською), основна уразливість у цій атаці — у конфігурації Kelp DAO щодо LayerZero OApp (Omnichain Application): використання режиму 1/1 DVN (один вузол верифікації), що дозволило хакерам підробляти повідомлення для крос-ланцюгової верифікації. Зловмисники за допомогою ретельно сконструйованих payload викликали створення rsETH без реального забезпечення у цільовій мережі, фактично отримавши активи на суму майже 3 мільярди доларів.

Далі, зловмисники використали ці rsETH як надмірну заставу (over-collateralized) у кредитних протоколах, позичаючи реальні ETH, що є класичним прикладом «швидкої позики» (flash loan attack). Дослідники у X зазначають, що ця ситуація дуже схожа на інцидент з Nomad у 2022 році, що підкреслює системний ризик у поєднанні «крос-ланцюгових мостів + LRT (Liquid Restaking Token)»: rsETH як дериватив, що залежить від стейкінгу ETH, але процес його створення через крос-ланцюг позбавлений достатньої децентралізації та перевірки у реальному часі.

Крім того, деякі пости припускають, що зловмисники могли використати приватні ключі або конфігурації Kelp DAO, які були злиті або скомпрометовані (деталі ще досліджуються). Весь ланцюг атаки був високоефективним і низько помітним, а витрати на gas — приховані через кілька рівнів маскування.

Реакція офіційних органів та заходи реагування

Kelp DAO: офіційний пост у X чітко заявив, що «зупинено функціонал rsETH на багатьох ланцюгах, щоб запобігти подальшим втратам», і пообіцяв «співпрацювати з LayerZero та аудиторами, щоб за 24–48 годин оприлюднити попередній звіт».

LayerZero: офіційний акаунт повідомив, що «команда проводить розслідування причин інциденту і найближчим часом надасть прозору інформацію», а також закликав усіх, хто інтегрує LayerZero, перевірити налаштування порогів DVN.

Aave: у X опубліковано заяву про «тимчасове замороження ринку rsETH, безпека протоколу не під загрозою», але спільнота все ще турбується про потенційний масштаб непогашених боргів, що може сягати 280 мільйонів доларів.

Інші протоколи, такі як Compound, Euler, також опублікували подібні повідомлення. У реальному часі у X з’являються оновлення про обмеження у щонайменше 16 протоколах кредитування та DEX.

Вплив на ринок і ланцюгові реакції

Інцидент спричинив сильний шок у ринку DeFi:

Ціни токенів: AAVE за 24 години впав на 17–19%, викликавши масові ліквідації довгих і коротких позицій; ZRO, рідний токен LayerZero, знизився приблизно на 20%; rsETH сильно розхитався, його ціна опустилася нижче ETH.

Ліквідність: коефіцієнт використання пулів ETH у Aave майже досяг 100%, обсяг виведених коштів за день перевищив 6,6 мільярдів доларів, що спричинило зменшення загального TVL у DeFi майже на 100 мільярдів доларів за короткий час.

Епідемія: кілька аналітиків у X створили «карти поширення», вказуючи, що непогашені борги можуть поширитися на всю екосистему LRT і крос-ланцюгові активи.

Порівняння з історією: ця подія вже перевищила втрати у 285 мільйонів доларів у протоколі Drift 18 днів тому і стала найбільшим за масштабами хакерським інцидентом у DeFi у 2026 році.

Багато постів прямо називають режим 1/1 DVN LayerZero «часовою бомбою», закликаючи всі крос-ланцюгові проєкти швидко оновити конфігурацію на багатовузлову (мінімум 2/3 або вище). Деякі розробники наголошують: «швидкість не повинна переважати безпеку».

Ризики LRT і синтетичних активів: спільнота вважає, що активи типу rsETH у крос-ланцюгових сценаріях мають недостатню прозорість, а @zachxbt та інші підкреслюють, що «без реального забезпечення LRT — це найбільший вразливий пункт».

Системні ризики у DeFi: аналітики моделювали можливі ланцюгові реакції і радили користувачам перевірити свої позиції у Aave, Compound та інших протоколах і вивести вразливі кошти. В коментарях українських користувачів поширюються фрази «ще один мостовий інцидент на мільярд», «DeFi — можна довіряти?» та «вимагаємо підвищення безпеки».

Деякі пости позитивно оцінюють швидку реакцію Kelp DAO (зупинка за 46 хвилин), вважаючи, що ця подія стимулює галузь до впровадження zk-SNARK, мульти-підписів і моніторингу у реальному часі.

Загалом, настрій — «шок і обережність», але деякі розробники вважають, що «виявлення проблем — краще, ніж їх приховування, це сприяє довгостроковій еволюції галузі».

Уроки та рекомендації для галузі

Ця подія з Kelp DAO rsETH ще раз нагадала, що навіть у провідних протоколах з повторним залученням існують системні вразливості у дизайні крос-ланцюгових мостів, конфігурації верифікаційних вузлів і прозорості застав. Спільнота пропонує:

• Проєктам потрібно негайно провести внутрішню перевірку інтеграцій з LayerZero, пріоритет — децентралізація конфігурацій.

• Користувачам слід бути обережними з новими крос-ланцюговими LRT, обирати проєкти з високим TVL і прозорим аудитом, диверсифікувати ризики.

• Галузь має прискорити розробку стандартів безпеки, зокрема обов’язкове використання багатовузлових DVN, перевірки у реальному часі та інших захисних механізмів.

Подія ще триває, Kelp DAO, LayerZero та постраждалі протоколи продовжують оновлювати інформацію у X. Волатильність ринку зберігається, безпека — пріоритет. Учасникам рекомендується слідкувати за офіційними акаунтами, щоб уникнути дезінформації.