😱💢💥DeFi Втрачає $292 Мільйонів менш ніж за годину!

Одна помилка у налаштуваннях відкрила двері. Одна забута міст, залишена без достатньої кількості очей, і все сталося. Найбільший злом DeFi того року стався не через геніальність, а через недбалість.

18 квітня 2026 року. Час: 17:35 за UTC. Хтось вийшов із мосту LayerZero Kelp DAO з 116 500 rsETH.. Ця сума? Майже $292 мільйонів. Минуло 46 хвилин, перш ніж Kelp зупинив свої контракти. За цей час було перерозподілено близько $250 мільйонів викрадених токенів, які перепродалися у ETH, використовуючи гаманець, тихо поповнений раніше через Tornado Cash. Кожен крок був запланований заздалегідь. Нічого не залишено випадковості. Шкода завдана.

Цей злом став найбільшим у 2026 році у сфері DeFi — жоден інший інцидент не наближається.

Що було зламано і яким методом користувалися

Навколо Kelp DAO кипить активність, він працює як машина, що дозволяє людям вносити ETH або певні застейкані активи. Замість того, щоб сидіти на місці, ці депозити потрапляють у EigenLayer для отримання додаткових доходів з часом. Виходить rsETH, токен, який можна обміняти або перемістити вільно. Тут сталася проблема: зв’язок між ланцюгами, що тримає резерви для обгорнутих rsETH, зазнав пошкодження. Цей зв’язок підтримує операції у понад двадцяти мережах. Arbitrum задає темп, потім йдуть Base, Linea, навіть менш відомі, як Blast і Scroll, всі пов’язані у мережу.

Фальшивий сигнал проник через захист LayerZero, обдуривши систему і змусивши її прийняти пошкоджені дані. Через це з’єднання реагувало так, ніби дозвіл надано з довіреного джерела. Почався переказ без справжнього дозволу. Вийшло 116 500 rsETH, перенаправлених до адреси, вже під контролем зловмисника.

Все почалося з одного фальшивого повідомлення. Злом стався, бо один міст повірив у нього. Після цього все зруйнувалося.

Один підписувач керував дозволами, тому лише один гравець мав право на операції. Через це хакер зміг підписати переказ, створивши багато rsETH без підтримки на початковій мережі. Майкл Егоров, засновник Curve Finance, сказав прямо: "Ризики з’являються, якщо все залежить від однієї особи."

Швидка поширюваність наслідків

Ось коли ситуація стала ще гіршою. Злочинець не лише забрав гроші, а й перетворив їх на інструмент для більшої шкоди.

Хвиля позиченого wETH прокотилася через Aave V3 після того, як хакери перерозподілили викрадені rsETH у протокол. Один злом спричинив ланцюгову реакцію, і раптово ефекти поширилися на більшу частину децентралізованих фінансів.

Зі 26,4 мільярда доларів 18 квітня, заблоковані кошти Aave у неділю вранці в США сягнули близько $20 мільярдів, втративши 6,6 мільярдів, оскільки токен AAVE впав на 16%. Через хаос SparkLend, Fluid і Lido одразу припинили торгівлю rsETH. RaveDAO’s RAVE вартість впала на 90%, з $27.33 до всього $1.15, втративши понад $5 мільярдів ринкової вартості всього за один сеанс. Хоча очікувалася стабільність, хаос швидко охопив платформи, коли цифри почали падати.

Ще щось сталося пізніше — дві спроби вивести по 40 000 rsETH, близько $100 мільйонів, були зупинені, коли Kelp натиснув аварійний стоп. Хоча це й не допомогло, адже $292 мільйонів вже зник.

Це не випадковість, а повторюваний сценарій

Правда в тому, що 2026 рік не був дружнім до безпеки DeFi

Злом в Drift Protocol, розміщеному на Solana, на початку квітня 1 знищив близько $285 мільйонів. Інцидент пов’язаний із хакерами, що мають зв’язки з Північною Кореєю. Кошти швидко зникли під час експлойти.

Це був ланцюг зломів кількох платформ: спершу CoW Swap, потім Zerion, що зазнав труднощів. Rhea Finance також швидко постраждала, її захист несподівано зламався. Silo Finance зламалася пізніше, приєднавшись до ланцюга зломів, що розгорталися тижнями.

Літо 2026 року лише за перший квартал забрало близько $482 мільйонів у цифрових валют. Хоча зломи завдали великих втрат, шахрайство теж відігравало свою роль у ці місяці.

У вихідні Kelp додав ще $292 мільйонів.

Голова служби безпеки Ledger сказав прямо: "Загалом, довіра до протоколів DeFi руйнується через такі події. І 2026, ймовірно, стане найгіршим роком з точки зору зломів."

Жорстка реальність будівельних блоків DeFi

Виявляється, те, що ніхто не хоче визнавати: те, що робить DeFi гнучким, одночасно його руйнує під час стресу. Компонованість створює силу через зв’язки, але ці лінки стають слабкими місцями під тиском.

Одним моментом rsETH слугував як надійна підтримка для Aave, SparkLend, Fluid, Compound і Euler, побудованих так з початку, оскільки відкриті зв’язки визначають суть DeFi. Ці системи дозволяють одна одній працювати вільно. Це задумано. Але одразу після зламу фальшиві активи заповнили переважно Aave, швидко використовуючи їх для отримання справжнього ETH через позики, перетворюючи ізольований крадіжку у широку напругу.

Коли одна частина ламається, постраждають і всі системи, що на неї покладаються як на безпеку. Це не помилка десь у системі. Це — спосіб роботи всієї конструкції.

Коли резерв мосту закінчується, ті, хто тримають токени поза Ethereum, починають сумніватися, чи ще підтримуються ці токени. Це викликає поспішний вихід з ланцюгів layer 2, хоча пропускна здатність Ethereum безпосередньо не постраждала. Раптом Kelp може знадобитися розірвати повторно застейкані активи, щоб покрити запити на виведення.

Одна несправність тягне за собою іншу. Це завжди так.

Що потрібно змінити

Що потрібно — не приховано. Але прогрес відстає від потреб.

Мости мають вимагати кілька підписів замість одного. Один зламаний ключ не зможе їх відкрити, коли потрібно кілька затверджень. Одна слабка ланка може зірвати всю систему, але вона залишиться закритою.

Щодо прийняття заставних активів, тепер вводяться більш жорсткі правила. Позикові системи тепер під тиском, перевірка дизайну мостів має бути першою, а не другою. Застейкані токени не пройдуть без ретельного огляду їхньої основи. Послідовність змінюється: контроль перед прийняттям, а не навпаки. Протоколи менше вагатимуться, коли структура підтверджена рано. Безпека залежить від часу, неправильний порядок може спричинити більше, ніж затримки.

Ця затримка важлива. Kelp чекала до 20:10 за UTC, щоб щось сказати, хоча злом почався набагато раніше. Всього минуло три години, перш ніж з’явилося перше повідомлення. Така тиша не працює, коли системи вже руйнуються.

Коли мости поводяться дивно, системи одразу зупиняються через крос-протокольні автоматичні обмежувачі, а не чекають годинами на людське втручання. Сповіщення запускають миттєве відключення у зв’язаних мережах, а не затримки з виправленнями. Швидкі зупинки відбуваються до того, як проблеми вийдуть з-під контролю. Машини реагують швидше за людей, коли з’являються попереджувальні сигнали. Заморожування автоматично активується, щойно з’являються аномалії у каналах зв’язку.

Михайло Егоров бачить у руйнуванні позитив: "Криптовалюція — суворе середовище, яке жоден банк не пережив би, але ми працюємо з цим. DeFi навчиться на цьому інциденті і стане сильнішим, ніж раніше."

Може й так. Хоча коли уроки коштують $292 мільйонів кожен, ціни швидко зростають.

Одна помилка відкрила двері. Фальшиве повідомлення пройшло. 46 хвилин — і мільйони зникли. Цей злом минув збитки Drift у вузькому розриві. Тепер він залишається найбільшим крахом DeFi 2026 року. Зв’язки між системами перетворили дрібні тріщини у повний крах.

Один крок попереду захистів, мости стають все складнішими. Коли валідатори не мають різноманітності, залишаються слабкі місця. Правила заставних активів теж не йдуть в ногу з часом. Поки ці прогалини залишаються відкритими, подібні історії з’являтимуться знову. Не питання, чи, а коли.

Виживання DeFi не перевіряється. Швидкість — ось як швидко воно може змінитися, перш ніж з’явиться ще одна $292 мільйонів помилка.

✅️ ПІДПИСУЙТЕСЬ ДЛЯ БІЛЬШЕ✅️
$BTC ‌$SOL ‌#GatePreIPOsLaunchesWithSpaceX $XRP ‌