#KelpDAOBridgeHacked KelpDAO rsETH Міст-міжланцюгова експлуатація: найбільша DeFi-атака 2026 року

18 квітня 2026 року KelpDAO, провідний протокол ліквідного повторного залучення з понад 1,3 мільярда доларів у загальній заблокованій цінності (TVL) до інциденту, зазнав катастрофічної експлуатації, спрямованої на його міжланцюгову інфраструктуру мосту. Атака призвела до крадіжки приблизно 116 500 токенів rsETH, оцінених приблизно у 292-294 мільйони доларів на момент злома, що робить її найбільшою експлуатацією децентралізованих фінансів 2026 року на сьогодні.

Механізм атаки

Експлуатація була спрямована на rsETH міст KelpDAO, який працює на основі протоколу міжланцюгових повідомлень LayerZero. Зловмисники виявили та використали критичну вразливість у функції lzReceive EndpointV2 LayerZero. Метод полягав у реєстрації тестової мережі peer за допомогою Unichain EID 30320 та експлуатації конфігурації схвалення 1-із-1 Децентралізованої Перевіряльної Мережі (DVN). Це дозволило зловмиснику створити та передати фальшиве міжланцюгове повідомлення, яке обійшло стандартні протоколи валідації, викликавши несанкціоноване випуск rsETH із сейфу без законних активів-підтримки.

Вкрадені rsETH становили приблизно 18% від загального обігу токена, що спричинило негайні системні занепокоєння у всій екосистемі DeFi.

Міжпротокольна поширення та криза поганого боргу

Замість того, щоб тримати вкрадені активи, зловмисник швидко використав непідтриманий rsETH як заставу у кількох протоколах кредитування, створюючи каскадну ситуацію з поганим боргом:

- Aave V3 (Ethereum): -52 834 WETH позичено
- Aave V3 (Arbitrum): -29 782 WETH та 821 wstETH позичено
- Compound V3 та Euler: додатково $23-59 мільйонів у позиках

Загальний обсяг поганого боргу у постраждалих протоколах перевищив $200 мільйонів, оскільки застави rsETH стали фактично безцінними після зупинки протоколу. Це зробило інцидент не лише мостовою експлуатацією, а й міжпротокольним поширенням, що випробовує стійкість взаємозалежної архітектури DeFi.

Негайний вплив на ринок

Експлуатація спричинила значні реакції ринку та екстрені заходи протоколів:

- Загальний TVL Aave впав більш ніж $7 мільярдів через масові виведення ETH, з показниками використання 100% на постраждалих ринках
- Зниження нативних токенів: $AAVE приблизно на 20%, тоді як $ZRO (LayerZero) знизився приблизно на 30%
- Введено екстрені замороження ринку у Aave V3, V4, SparkLend, Fluid та Upshift для застав rsETH
- Lido Earn призупинив депозити earnETH через занепокоєння щодо rsETH
- Кілька проектів, що використовують LayerZero мости, запровадили попереджувальні паузи

З’явилися вторинні ризики, включаючи потенційні невдачі ліквідації ETH, ускладнення стимулів позик USDT та концентрацію поганого боргу на розгортанні Aave в Arbitrum, що може не мати повного захисту Umbrella.

Екстрена реакція та поточний стан

Команда безпеки KelpDAO відреагувала приблизно за годину після виявлення, запровадивши протокол-загальну паузу о 18:21 UTC 18 квітня. Цей швидкий реагування успішно заблокував дві наступні спроби атаки. Команда опублікувала офіційні заяви, підтверджуючи свою відкритість до переговорів з білими хакерами та проводить всебічний аналіз причин у співпраці з LayerZero, Unichain та сторонніми аудиторами.

Голосування в Aave ініціювало обговорення щодо розміщення коштів у казначействі та можливих позик для покриття виявлених недоліків, з пропозиціями щодо підвищення ставки ETH slope2 для управління стресом протоколу. За даними аналізу Chaos Labs, близько $177 мільйонів поганого боргу вже погашено, хоча експозиція Arbitrum залишається невирішеною.

Блокчейн-розслідувачі, зокрема ZachXBT, відстежили вкрадені кошти до Tornado Cash, але наразі не повідомляється про успішне відновлення. Аналітики прогнозують можливі зниження цін на 15-20% для тримачів rsETH, що мостили, а KelpDAO розглядає механізми соціалізації втрат або пріоритетизацію тримачів у мейннеті.

Вплив на індустрію

Цей інцидент є критичним поворотним моментом для безпеки міжланцюгових мостів і компонентів токенів ліквідного повторного залучення (LRT). Експлуатація підкреслює фундаментальні вразливості у налаштуваннях безпеки мостів, зокрема ризики, пов’язані з спрощеними конфігураціями DVN. Подія посилила увагу до стандартів безпеки архітектури мостів і системних ризиків, що виникають через високу взаємозалежність протоколів DeFi.

Злом KelpDAO перевищує попередній рекорд 2026 року, встановлений експлуатацією Drift Protocol на 280-285 мільйонів доларів від 1 квітня, що свідчить про тривожну тенденцію зростання кількості складних атак на міжланцюгову інфраструктуру. З понад 1,2 мільярда доларів у криптовалютних збитках у квітні 2026 року, включаючи атаки на CoW Swap та інші, галузь стикається з зростаючим тиском щодо посилення безпеки та впровадження більш надійних систем управління ризиками міжпротоколів.

Постраждалі користувачі та учасники ринку рекомендуються стежити за офіційними каналами KelpDAO та Aave для отримання оновлень щодо відновлення коштів, механізмів компенсації та термінів повторного відкриття протоколів.

#KelpDAO #DeFiSecurity #CryptoHack #BridgeExploit