Випадок безпеки DeFi 2026: Аналіз міжпротокольних ризиків, викликаних вразливістю Kelp DAO, та кредитних ризиків Aave

2026 рік 18 квітня UTC 17:35, одна звичайна міжланцюгова транзакція спричинила найпередавальнішу подію безпеки в історії DeFi. Мост rsETH від Kelp DAO через конфігураційний вразливість був атакований, зловмисник безпідставно створив 116 500 rsETH на суму приблизно 293 мільйони доларів, що становить близько 18% від загальної циркуляції цього токена. Ця подія не лише оновила рекорд збитків за один випадок атаки в 2026 році, а й через міжпротокольну комодитизацію викликала системну кризу: за два дні TVL Aave зникло на 8,45 мільярдів доларів, а загальний TVL у всьому ланцюгу DeFi скоротився на 13,21 мільярда доларів.

Однак подія з Kelp DAO не є ізольованою. За перші чотири місяці 2026 року у сфері DeFi вже сталося кілька безпекових інцидентів із сумарними втратами у кілька сотень мільйонів доларів. Від захоплення управління до використання вразливостей мостів, від маніпуляцій з оракулами до повторного входу в смарт-контракти — вектори атак стають все складнішими, а глибока взаємозалежність протоколів значно посилює руйнівну силу окремих точок відмови.

Хроніка вразливості мосту Kelp DAO

18 квітня 2026 року, UTC 17:35, зловмисник використав конфігураційну вразливість мосту LayerZero у Kelp DAO, підробивши міжланцюгове повідомлення і викликавши створення 116 500 rsETH без реального забезпечення. Через 46 хвилин після атаки Kelp DAO через екстрений мульти-підпис зупинив функціонал контрактів rsETH на основній мережі та кількох L2 ланцюгах. В цей час зловмисник зробив ще дві спроби повторного створення по 40 000 rsETH, але всі вони були скасовані через блокування контрактів.

Після успішної атаки, зловмисник не продав безпосередньо цю порцію rsETH на вторинному ринку, а переважно помістив її у заставу в Aave V3 та V4, позичаючи реальні WETH та ETH. За даними блокчейну, зловмисник отримав шляхом застави та продажу близько 106 500 ETH, що оцінюється приблизно у 250 мільйонів доларів.

Ця операція поставила Aave під ризик непогашення боргів на суму від 177 до 236 мільйонів доларів. Офіційно Aave негайно заблокував ринки rsETH у мережах Ethereum, Arbitrum, Optimism, Base та інших, встановивши Loan-to-Value для rsETH на рівні 0. Також протоколи Compound, Euler та інші почали призупиняти або обмежувати операції з відповідними активами.

Від вразливості до ланцюгової реакції

У спільноті існують різні думки щодо швидкості реагування Kelp DAO. Деякі вважають, що 46 хвилин — це швидка реакція для міжланцюгових мостів, інші ж вказують, що з моменту атаки до першого офіційного повідомлення минуло майже три години, що посилило паніку на ринку. Також обговорюється, що рішення Kelp DAO використовувати конфігурацію 1/1 DVN викликало дискусії щодо достатності аудиту безпеки.

Аналіз даних і структури: кількісний огляд ланцюгової реакції

Огляд безпекової ситуації у DeFi 2026 року

Частота атак і масштаб збитків

За перші 18 днів квітня 2026 року, крипто-протоколи зазнали атак на суму понад 606 мільйонів доларів, що є найвищим показником з лютого 2025 року. Зокрема, Drift Protocol 1 квітня зазнав збитків близько 285 мільйонів доларів через захоплення управління, а Kelp DAO — близько 293 мільйонів доларів. Разом ці дві події становлять більшу частину втрат за місяць. Ці високі збитки свідчать про новий етап випробувань безпеки у DeFi.

Тенденції еволюції атак

Дослідники безпеки відзначають, що у 2026 році атаки набули двох нових характерних рис: по-перше, зросла частка використання вразливостей у міжланцюгових мостах і конфігураціях похідних активів, що свідчить про проникнення не лише у смарт-контракти, а й у рівень управління протоколами; по-друге, зловмисники дедалі краще використовують комодитизацію DeFi для масштабування ефекту атак, перетворюючи окремі вразливості у системні удари. У випадку з Kelp DAO, зловмисник не продав створені активи, а використав їх як заставу для виведення реальних активів — класичний приклад цієї тенденції.

Аналіз впливу на Aave

Зміни TVL і цін токенів

За даними ринкових котирувань і блокчейну станом на 20 квітня 2026 року, вплив на Aave був наступним:

• Зміна TVL: з 18 квітня TVL Aave зменшився з приблизно 26,396 млрд до 17,947 млрд доларів, за два дні — на 8,45 млрд.
• Чистий відтік: близько 6,2 млрд доларів, зменшення приблизно на 23%.
• Обсяг непогашених боргів: від 177 до 236 мільйонів доларів, переважно у парі rsETH/WETH на Ethereum.
• Загальна ставка використання: WETH — 100%, USDT і USDC — також на максимальному рівні, понад 5,1 млрд доларів у стабільних монетах заблоковано у нових потоках або позиках.
• Виведення великих гравців: Abraxas Capital зняв близько 392 мільйонів доларів, MEXC — 431 мільйон, а також крупний гравець, пов’язаний з Nonco, — 405 мільйонів доларів.

Оцінка безпеки ключових контрактів Aave

Важливо зазначити, що у цій події не було зламу основних смарт-контрактів Aave. Зловмисник використав вразливість мосту Kelp DAO для створення “повітряних застав”, які потім були використані у протоколах для позичання реальних активів. Засновник Aave Stani у AMA чітко заявив, що це — “забруднення верхнього рівня”, а не вразливість протоколу. Це підтверджують і фахівці з безпеки.

Два можливі шляхи компенсації непогашених боргів

Як саме Aave планує закрити цю дірку — наразі існують дві гіпотези: по-перше, за допомогою резервів протоколу і щомісячних доходів близько 12 мільйонів доларів; по-друге, у разі перевищення розміру боргів резервів, можливо, доведеться залучати заставлені токени AAVE, що означає, що витрати Kelp DAO будуть перекладені на найвідданіших стейкерів. На 20 квітня офіційних рішень щодо конкретних дій ще не оприлюднено.

Аналіз цін rsETH і дезякірювання

Зміни у циркуляції rsETH

Атака спричинила створення 116 500 rsETH (близько 18% від циркуляції) без реального ETH. Ці активи на понад 20 ланцюгах мають невизначений статус забезпечення, і потрібно чекати підтвердження від Kelp щодо резервів і обсягів циркуляції.

Критика цінової моделі rsETH

Аналітики вказують, що rsETH, як представник LRT (Liquid Restaking Token), має цінність, що сильно залежить від цілісності резерву ETH. Якщо між резервом і циркуляцією виникне розрив, цінова прив’язка може бути серйозно порушена. Конфігурація 1/1 DVN у Kelp фактично зосереджує відповідальність за безпеку міжланцюгової перевірки на одному вузлі, що підвищує ризик системних збоїв у сценаріях міжланцюгових мостів.

Перевірка обережної стратегії SparkLend

Попередні заходи Spark Protocol

Керівник стратегії Spark Protocol monetsupply.eth повідомив, що ще у січні 2026 року протокол почав знімати активи з низьким використанням, включно з rsETH, і посилював обмеження щодо заставних активів. Це рішення викликало невдоволення користувачів, але у контексті Kelp DAO воно виявилося дуже обережним кроком.

Порівняння ліквідності

На тлі ризиків, пов’язаних із rsETH у Aave, SparkLend зберіг достатню ліквідність ETH. Також протокол застосував більш високі ліміти ставок по ETH, що дозволило зменшити ризики, хоча й поступитися частиною ринку Aave. Це сприяло формуванню більш здорової балансової структури.

Значення вибору активів для ризик-менеджменту

Рішення Spark попередньо зняти rsETH підкреслює важливість відбору заставних активів у DeFi: широка політика прийому активів може створити вразливі місця, тоді як обережний підхід до вибору активів — перша лінія захисту безпеки протоколу.

Можливе переформатування конкуренції між протоколами

Після цієї події конкуренція у сфері кредитування може змінитися. Стратегії, орієнтовані на “максимізацію TVL”, можуть поступитися місцем підвищенню якості активів і ризик-ізоляції. Визнання переваг обережних підходів, зокрема Spark, може стимулювати інші протоколи переглянути свої політики щодо заставних активів.

Діалог між спільнотою, командами розробників і дослідниками безпеки

Громадська дискусія: від паніки до рефлексії

Панічні зняття і обговорення даних

Після інциденту обсяг обговорень у платформах X на кілька годин перевищив мільярд повідомлень. Спільнота спочатку реагувала панічними зняттями і побоюваннями щодо безпеки активів. Засновник DeFiLlama 0xngmi у своєму дописі зазначив, що навіть протоколи на Solana, які не були безпосередньо уражені, зазнали втрат. Він додав, що загалом TVL DeFi зменшився майже на 100 мільярдів доларів, і наголосив, що у цій ситуації ніхто не виграє — всі втрачають частину “пирога”.

Розбіжності у думках щодо управління ризиками Aave

Після блокування ринку rsETH у Aave, у спільноті виникли дискусії щодо здатності протоколу управляти ризиками. Одні вважають, що швидка реакція допомогла обмежити збитки, інші ж критикують недостатню оцінку ризиків при прийомі rsETH як застави, особливо враховуючи, що Spark ще у січні зняв цей актив.

Відповіді команд і протоколів

Публічні заяви протоколів

• Kelp DAO: офіційний аккаунт підтвердив “підозрілі активності у міжланцюгових операціях” і повідомив, що почав розслідування разом із LayerZero, аудиторами та експертами.
• LayerZero: офіційно у X повідомили, що “знають про інцидент і досліджують причину”.
• Aave: заявили, що rsETH у основній мережі підтримується належним чином, але через обережність залишили його у заблокованому стані, підкреслюючи, що ризики обмежені.

Обговорення відповідальності

Загалом, дослідники безпеки вважають, що конфігурація мосту 1/1 DVN — головна причина інциденту. Однак існують різні думки щодо відповідальності: одні вважають, що Kelp DAO як розробник протоколу має нести основну відповідальність, інші — що LayerZero, як постачальник інфраструктури, також має відповідальністю за рекомендації та практики.

Точка зору дослідників безпеки

Класифікація вразливості

За глибокими аналізами фахівців, основна уразливість полягає у конфігурації LayerZero OApp: використання 1/1 DVN означає довіру до одного вузла, що дозволяє зловмиснику підробити міжланцюгові повідомлення. В результаті, зловмисник створив фальшивий валідований пакет, що спричинив безпосереднє створення rsETH без реального забезпечення, фактично “підробивши” активи на суму майже 3 мільярди доларів.

Порівняння з історичними подіями і уроки

Дослідники порівнюють цей випадок із інцидентом Nomad у 2022 році: обидва випадки пов’язані з неправильним налаштуванням міжланцюгових перевірок. Після Nomad у галузі зросла обережність щодо безпеки мостів, але з часом з’явилися нові архітектури і активи (наприклад, LRT), що створюють нові ризики. Подія з Kelp DAO показує, що безпека мостів ще не вирішена і стає ще більш складною через різноманіття активів.

Вплив на галузь: від окремих вразливостей до системних ризиків

Вплив на довіру до LRT

Цінність LRT активів під питанням

rsETH — один із ключових активів у сегменті LRT. Інцидент показав структурні ризики: цінність LRT залежить від цілісності резерву ETH. Вразливості у міжланцюгових мостах можуть створити “безякірні” активи без реального забезпечення, що руйнує довіру до цієї моделі.

Можливе посилення стандартів прозорості і аудиту

Після події очікується посилення вимог до прозорості резервів і аудиту LRT. Kelp DAO має оприлюднити результати звірки резервів і підтвердити залишковий обсяг rsETH. Це може стати точкою перезавантаження стандартів безпеки у сегменті.

Оцінка здатності ізоляції ризиків у протоколах кредитування

Переваги Morpho

Модель із ізольованими ринками, яку застосовує Morpho, дозволяє обмежити ризики у межах 1 мільйона доларів у двох окремих ринках, не поширюючи їх на весь протокол. Це зменшує системний ризик у порівнянні з Aave, де єдина пулова модель швидко поширює проблему.

Архітектурний підхід vs. управління ризиками

Різниця у поведінці Morpho і Aave підкреслює важливість архітектурних рішень: ізольовані ринки — більш безпечний підхід, хоча й менш ефективний з точки зору капіталу. У кризових ситуаціях це дає додатковий захист.

Безпека міжланцюгових мостів: новий виклик

Ризики конфігурації LayerZero

Головна причина — конфігурація 1/1 DVN, яка створює одинокий вузол довіри. Це дозволяє зловмиснику підробити повідомлення, використовуючи один валідатор. Гнучкість LayerZero — з одного боку, перевага, з іншого — потенційний ризик.

Практики безпеки мостів

Після інциденту галузь має прискорити стандарти безпеки мостів: застосування багатьох DVN, тайм-локи, обмеження транзакцій. Наприклад, Curve Finance призупинив свою інфраструктуру LayerZero для перевірки безпеки, і цей крок може стати прикладом для інших.

Моделювання сценаріїв: майбутнє безпеки DeFi

Базовий сценарій: поступове подолання кризи, посилення системної стійкості

За цим сценарієм, Aave поступово погасить борги за рахунок резервів і доходів, Kelp DAO завершить звірку резервів і оприлюднить реальні дані щодо rsETH, а галузь відновиться. Важливі змінні: чи зможе Aave закрити борги без залучення додаткових ресурсів; чи підтвердить Kelp достовірність резервів; чи зможуть інші LRT підвищити прозорість.

Стресовий сценарій: падіння ETH викличе ланцюгову реакцію

Мінорний керівник Spark monetsupply.eth попереджає, що при досягненні 100% використання застав ETH, його ліквідація стане неможливою. При падінні цін ETH на 15-20% можливе швидке зростання непогашених боргів, що може призвести до масштабних втрат у Aave і системних проблем у всьому DeFi.

Переформатування: системне оновлення безпеки DeFi

Ця подія може стати каталізатором для оновлення архітектури безпеки: стандарти конфігурації мостів, регулярна перевірка резервів LRT, жорсткіші стандарти для активів у кредитних протоколах, застосування ізольованих ринків. Це вимагатиме нових балансів між безпекою і ефективністю, але ціна за недбалість — надто висока.

Висновки

Подія з Kelp DAO на 293 мільйони доларів — не просто масштабна атака, а практичний тест системної безпеки DeFi. Злом став наслідком конфігураційної вразливості мосту, що спричинило ланцюгову реакцію у сегменті LRT, головних протоколах кредитування і всій екосистемі. В результаті TVL Aave за два дні знизилося на 8,45 мільярдів доларів, а загальні втрати у всьому ланцюгу — понад 13 мільярдів.

У цій кризі протоколи показали різні результати: Aave зазнав значних навантажень через широку політику прийому заставних активів; Morpho — завдяки ізольованій архітектурі зменшив ризики до мінімуму; SparkLend — попередньо знявши низькоризикові активи, уникнув масштабних втрат. Це підкреслює головний висновок: у DeFi безпека — не лише технічна реалізація, а й архітектурна філософія.

Станом на 20 квітня 2026 року, звірка резервів Kelp DAO ще не оприлюднена, рішення щодо покриття боргів у Aave — у процесі, а реальна вартість rsETH — під питанням. Ці невирішені питання продовжують випробовувати стійкість і управління галузі. Але одне очевидно: ця криза залишить глибокий слід у історії DeFi — вона змусила переосмислити пріоритети “ефективності” і шукати новий баланс між швидкістю зростання і безпекою.