KelpDAO вразливість спричинила кризу довіри у DeFi: TVL скоротився на 14 мільярдів

2026 年 4 月 18 日，KelpDAO 基於 LayerZero 的 rsETH 跨鏈橋遭到 атаки，злочинець за приблизно 46 хвилин викрав 116 500 rsETH, що спричинило збитки приблизно на 292 мільйони доларів, ставши найбільшою за історією подією у сфері DeFi з точки зору безпеки. Ця атака не була викликана традиційною вразливістю у коді смарт-контрактів, а стала системною несправністю у моделі довіри між ланцюгами. KelpDAO використовував рішення LayerZero OFT для мосту, яке залежить від DVN — децентралізованої мережі верифікації. Однак KelpDAO налаштував архітектуру з одним вузлом DVN — достатньо підпису одного вузла, щоб підтвердити, що міжланцюгове повідомлення є «справжнім», тоді як офіційна документація LayerZero рекомендує конфігурацію з двома підписами (2/2). Злочинець шляхом соціальної інженерії зламав цей один вузол, підробив міжланцюгові повідомлення і створив «фальшиві монети», випустивши rsETH без реальної підтримки активів у мережі Ethereum.

У попередньому розслідуванні LayerZero попередньо приписав атаку групі Lazarus з Північної Кореї, зокрема її підрозділу TraderTraitor, зазначивши, що зловмисник через забруднення RPC-нодів DVN і DDoS-атаки викликав збої, що змусили вузли підтвердити «відсутність транзакцій», а потім підробили повідомлення. Ця технічна схема виявила глибшу структурну проблему: коли безпека мосту повністю залежить від одного верифікаційного вузла, цей вузол стає ахіллесовою п’ятою системи.

Як викрадені rsETH передаються до Aave і створюють великі борги

Злочинець створив фальшиві rsETH і використав їх як заставу у платформах позик, таких як Aave, щоб позичати реальні активи. Оскільки ці rsETH не мають законного підтвердження активами, позика на їх основі фактично створює потенційний борг для кредиторів. Аналіз на блокчейні показує, що на L2 мережах Aave приблизно має 359 мільйонів доларів у заставі у вигляді rsETH за ціною орієнтиру. За максимальної кредитної левериджної ставки, потенційний обсяг збитків може сягати близько 341 мільйона доларів, і цей борг не покривається протоколом Umbrella.

Це не є помилкою у коді смарт-контрактів Aave, а системною реакцією на «помилкову довіру до заставних активів». Після внесення беззаставних токенів у кредитний пул усі користувачі, що залежать від цих фондів, опиняються під потенційним ризиком погашення. Модульність DeFi тут виступає двосічним мечем: вона забезпечує безшовну інтеграцію капіталу між протоколами, але й дозволяє кризі довіри в одному компоненті швидко поширитися на всю екосистему.

Як паніка щодо коштів спричинила різке зниження TVL на 140 мільярдів доларів

Паніка швидко переросла у масштабне виведення коштів. За даними DefiLlama, за останні 48 годин загальний TVL у DeFi знизився з 994,97 мільярдів доларів до 862,86 мільярдів доларів, зникнувши приблизно на 132 мільярди. З Aave вивели кошти на суму до 8,45 мільярдів доларів, а TVL знизився до 17,947 мільярдів доларів. Станом на 20 квітня, TVL у DeFi ще більше зменшився до приблизно 82,4 мільярдів доларів, що на 25% менше за рівень початку 2026 року — близько 110 мільярдів доларів.

Виведення коштів зосереджене навколо позик, ре-стейкінгу ліквідності та протоколів з доходністю. Платформи, такі як Euler, Sentora, зазнали двозначних відсоткових втрат у TVL. Водночас ціни токенів реагують досить спокійно: AAVE за останні 24 години знизився лише приблизно на 2,5%, а UNI і LINK — менш ніж на 1%. Така розбіжність між ринковою довірою та ціновими коливаннями свідчить, що ринок ще не врахував довгострокових наслідків цієї події — виведення коштів відображає паніку ліквідності, тоді як власники токенів, можливо, все ще очікують чіткого плану вирішення проблеми боргів.

Який сигнал посилає замороження 71 мільйонів доларів Arbitrum 21 квітня

21 квітня 2026 року Комітет безпеки Arbitrum вжив термінових заходів, перевівши 30 766 ETH, що належали зловмиснику, до управлінського посередницького гаманця і заморозив їх, що становить приблизно 71 мільйон доларів, — це близько чверті від загальної суми викрадених активів. Це було зроблено за допомогою системної транзакції типу ArbitrumUnsignedTxType, яка не може бути підписана звичайним EOA і може бути виконана лише за допомогою інтервенції Комітету безпеки через ArbOS.

Ця дія посилає два важливі сигнали. По-перше, підтверджується здатність Layer 2 швидко реагувати у разі надзвичайних ситуацій — це важливий етап у дорожній карті масштабування Layer 2. По-друге, таке втручання у кошти користувачів є рідкісним і викликає суперечки, оскільки воно вводить дискреційний контроль у мережу, яка за задумом має бути безліцензною. Arbitrum наголошує, що ця дія базується на інформації від правоохоронних органів щодо особи зловмисника і не торкнулася інших користувачів або додатків. Однак цей прецедент піднімає глибше питання: де має бути межа децентралізованого управління у випадку «державних» атак?

Чому попередження засновника Curve про небезпеку неконтрольованих позик стало відкритим

Засновник Curve Finance Майкл Егоров у публічній заяві після події підкреслив, що проблема боргів, викликаних атакою KelpDAO, яскраво демонструє потенційні ризики нинішньої моделі «незалежних позик». Він зазначив, що ця модель, хоча й має високу масштабованість, пов’язана з високими ризиками і вимагає більш жорсткого управління активами. Егоров додав, що багато недавніх безпекових інцидентів, які можна було уникнути, виникають через централізовані однобічні збої, і закликав створити єдині стандарти безпеки для DeFi за участю Ethereum Foundation і Solana Foundation.

Особливо він наголосив, що цілком можливо застосовувати повністю ізольовані або гібридні моделі позик, і що архітектура «hub and spoke» у Aave v4 може сприяти підвищенню безпеки. Це відображає ключову суперечність у DeFi: між високою капітальною ефективністю та ризиком системних збоїв. Модель без ізоляції дозволяє вільний рух капіталу між протоколами, але й швидко поширює кризу довіри. Егоров ставить питання: чи не досягла DeFi точки, коли потрібно жертвувати частиною ефективності заради стабільності системи?

Три шляхи вирішення боргів Aave і їх структурні витрати

Засновник DeFiLlama 0xngmi окреслив три можливі сценарії вирішення ситуації з боргами KelpDAO, кожен із яких має свої цінові компроміси.

Перший — соціалізація збитків: зменшити баланс усіх власників rsETH пропорційно на 18,5%, щоб погасити збитки. За цим сценарієм, у всій мережі Aave борг становитиме близько 216 мільйонів доларів, з них 55 мільйонів покриває Umbrella, 85 мільйонів — кошти Aave, а решту — близько 76 мільйонів доларів потрібно буде компенсувати. Це рішення розподіляє збитки між усіма користувачами, але руйнує довіру до безпеки протоколу.

Другий — захистити лише Ethereum і вважати rsETH на L2 безцінним. За поточними цінами, застави на L2 становлять близько 359 мільйонів доларів, і за максимальної левериджної ставки борг може сягати 341 мільйон доларів, що не покривається Umbrella. У такому разі Aave змушений буде покладатися на власний резерв або спроби врятувати ситуацію, і, можливо, відмовитися від найбільш постраждалих ланцюгів — Arbitrum, Mantle і Base, що призведе до краху цих ринків. Це зменшить безпосередній вплив на основний протокол, але серйозно підірве репутацію L2-екосистем.

Третій — відновлення активів за швидким знімком стану до атаки, з повним поверненням rsETH власникам на момент інциденту, а всі інші, хто купив або перепродав, несуть втрати самостійно. За цим сценарієм, після покриття Umbrella залишиться близько 91 мільйона доларів збитків, але через часті рухи коштів у DeFi важко чітко розмежувати різні порції внесених активів, що ускладнює реалізацію.

Чому квітень 2026 року став переломним у безпеці DeFi

Інцидент з KelpDAO — не ізольована подія. За 20 днів у квітні 2026 року збитки від хакерських атак у крипто-індустрії перевищили 606 мільйонів доларів, що є найжорсткішим місяцем з лютого 2025 року. 1 квітня на Solana був викрадений 285 мільйонів доларів у найбільшій перпетуальній біржі Drift Protocol за 12 хвилин. Разом ці дві події становлять близько 95% збитків за місяць.

Дані звіту SlowMist за 2025 рік показують, що за весь 2025 рік було зафіксовано 200 інцидентів, що спричинили збитки на 2,935 мільярдів доларів. Це менше за кількість у 2024 році, але збитки зросли майже на 46%. Найбільш атакованою галуззю є DeFi — 126 інцидентів, що становить 63%, із загальним збитком близько 649 мільйонів доларів.

Об’єднуючи ці дані, виникає чітка тенденція: ціль атак — не кількість інцидентів, а їх якість — менше випадків, але більші збитки та складніші атаки. У випадку KelpDAO зловмисник не використовував вразливості у коді, а зробив ставку на конфігураційні помилки у довірчій моделі. Це свідчить про еволюцію атак і про те, що традиційний аудит коду вже недостатній для протистояння сучасним загрозам.

Висновки

Інцидент з KelpDAO — найяскравіший приклад кризи безпеки у DeFi 2026 року. Він показав, що модель довіри у міжланцюгових мостах з одним вузлом є вразливою, і що активи можуть швидко поширювати кризу у системі через борги у Aave. Термінові дії Комітету безпеки Arbitrum щодо замороження частини викрадених активів дали обмежену можливість повернути кошти, але й підняли питання про межі децентралізованого управління у разі державних атак.

Попередження Егорову щодо ризиків неконтрольованих позик і заклики до створення єдиних стандартів безпеки відображають перехід у фазу глибокої рефлексії у сфері DeFi. Висока капітальна ефективність і модульність — це дві сторони однієї медалі, і тепер стає очевидним, що без системних механізмів ізоляції ризиків довіра у цій екосистемі під загрозою. 2026 рік і події квітня — сигнал, що безпека у DeFi має перейти від реактивних заходів до системного підходу, інакше кожна «можлива уникнути помилка» ризикує підривати довіру до галузі в цілому.

Часті питання (FAQ)

Питання: Яка сума безпосередніх збитків KelpDAO?

Злочинець викрав 116 500 rsETH, що за тодішнім курсом становить приблизно 292 мільйони доларів. Комітет безпеки Arbitrum вже заморозив активи на суму близько 71 мільйона доларів, що становить приблизно чверть від загальної суми.

Питання: Який максимальний ризик боргів для Aave?

Залежно від сценарію вирішення, борги Aave коливаються від 123,7 мільйонів до 341 мільйона доларів. За сценарієм із обмеженням збитків L2, борг може сягати 341 мільйона і не покриватися Umbrella.

Питання: Чим відрізняється ця атака від інших у DeFi?

Головна причина — не вразливість у коді, а конфігураційна помилка у мосту: використання одного вузла DVN, що дозволяє зламати всю систему через злом одного компонента.

Питання: Які рекомендації дав Егоров?

Він закликає створити єдині стандарти безпеки для DeFi, зменшити кількість централізованих точок відмови, застосовувати розподілені механізми довіри і залучити Ethereum Foundation та Solana Foundation до розробки безпечних архітектурних рішень.

Питання: Що спричинило зменшення TVL у DeFi?

Обидва фактори: активне заморожування активів через ризики і паніка користувачів, що масово виводять кошти. Це призвело до зниження TVL з початкових 1100 мільярдів до 824 мільярдів доларів.

Питання: Який довгостроковий вплив матиме цей інцидент?

Він показав системні недоліки неконтрольованих позик і міжланцюгових довірчих моделей, що може спонукати галузь перейти до більш безпечних архітектур і стандартів.