#rsETHAttackUpdate

Зламаний міст Kelp DAO, шок на 10 мільярдів доларів для DeFi

У суботу 18 квітня 2026 року ринок криптовалют зазнав найбільшої атаки DeFi за рік. Хакери вивели точно 116 500 rsETH, що приблизно дорівнює 292 мільйонам доларів, з мосту, побудованого на LayerZero, який переміщує токен rsETH Kelp DAO між ланцюгами. Експлуатація сталася в одній транзакції о 17:35 за UTC. Зловмисники обманули міст за допомогою підробленого пакету LayerZero і опустошили rsETH.

Що сталося? Технічний аналіз
Уразливість одного DVN: Маршрут мосту Unichain до Ethereum працював на конфігурації DVN 1 з 1, тобто активним був лише один перевіряльник. Зловмисник маніпулював RPC-нодами, створив підроблений пакет і один перевіряльник підписав його.
Міст опустошено: Адаптер OFT на Ethereum тримав 116 723 rsETH. Після атаки баланс знизився до 223 rsETH всього за один блок.
Куди поділися гроші: Зі вкрадених rsETH 89 567 були внесені як заставу в Aave V3. Потім хакер позичив 82 650 WETH і 821 wstETH під цю заставу. Фактори здоров’я коливалися між 1,01 і 1,03, тому позиції були на межі ліквідації.

Команда Kelp DAO активувала аварійний мультиsig і зупинила всі контракти за 46 хвилин. Якби вони не діяли, зловмисник міг би вивести ще 40 000 rsETH і збільшити загальні збитки до 391 мільйона доларів.

Вплив на ринок криптовалют: Як падали доміно

1. Криза ліквідності в Aave
Aave тримав 83 відсотки від загального запасу rsETH. З хакером, що вносив заставу і позичав, Aave раптово опинився під ризиком потенційного збитку в межах від 124 до 230 мільйонів доларів.
Результат:
Загальна вартість заблокованих активів Aave (TVL) знизилася з 45 мільярдів до 30 мільярдів доларів за три дні, що становить зниження на 33 відсотки.
Користувачі панікували і вивели кошти. Близько 10,1 мільярда доларів активів покинули протокол.
Відсоткові ставки за ETH підскочили з 2 до 8 відсотків, що є найвищим рівнем з принаймні січня 2024 року.
Відсоткові ставки за USDT і USDC зросли з 3,4 до 14 відсотків.

Aave заморозив ринки rsETH і wrsETH у 11 мережах, включаючи Ethereum, Arbitrum, Avalanche, Base, Linea і Mantle.

2. Цінова динаміка і зниження TVL
Токен AAVE втратив від 15 до 18 відсотків своєї вартості.
Загальний TVL DeFi знизився з 99 мільярдів до 89 мільярдів доларів 18 квітня, знищивши 10 мільярдів доларів.
Джастін Сон вивів 65 580 ETH у одній транзакції, приблизно на 154 мільйони доларів.

3. Ланцюгова реакція
SparkLend і Fluid також закрили свої ринки rsETH. Lido припинив нові депозити у продукти, пов’язані з rsETH. Інфраструктура Relay продовжувала працювати, але зняття з сейфів було зупинено через заставу, заблоковану у ринку WETH Aave.

Хто відповідальний? Всі погляди спрямовані
LayerZero звинуватив групу Lazarus. Звіт RWATimes вказав їхню підгрупу TraderTraitor. Гаманці зловмисників фінансувалися через Tornado Cash.

Важлива деталь: За даними Llamarisk і звіту Aave, власні контракти Aave не були зламані. Проблема цілком полягала у конфігурації мосту Kelp DAO.

План відновлення: Лінія життя на 30 000 ETH
Mantle запропонував позичити до 30 000 ETH для Aave DAO, щоб покрити збитки. Термін позики — 36 місяців з відсотковою ставкою, що дорівнює доходу Lido плюс 1 відсоток. Стані Кулєчов оголосив підтримку фразою DeFi United.

Kelp DAO вдалося відновити 40 373 rsETH. Це покриває лише 26 відсотків від попиту на 152 577 rsETH у всіх L2. Версія rsETH на основній мережі наразі не постраждала, оскільки вона безпосередньо підтримується стейкінгом.

Три уроки з цієї події
1. Безпека мосту — це безпека DeFi: Запуск одного перевіряльника DVN означає довіру до пакету на 292 мільйони доларів. Проекти, що використовують LayerZero, ймовірно, тепер вимагатимуть мультиDVN і опціональних перевіряльників.
2. Системний ризик у LRT: Коли ліквідні токени повторного стейкінгу, такі як rsETH, концентруються у великих протоколах, наприклад Aave, одна експлуатація може похитнути весь ринок. Мати 83 відсотки в одному протоколі — це надто велика експозиція.
3. Орекули відстають: Під час хаку Aave все ще оцінював rsETH близько до паритету і дозволяв позички на 106 467 ETH. Експлуатація мосту не відобразилася швидко у цінових feeders.
Що буде далі
Короткостроково, версії rsETH на L2 залишаться неликвідними. 40 373 rsETH у мосту не покриють усі rsETH на L2. Це означає, що rsETH на Arbitrum, Base і Mantle тимчасово діятимуть як квитанції без сейфа.

У середньостроковій перспективі, якщо збитки Aave будуть покриті через кредит Mantle і погашення Kelp DAO, довіра може відновитися. Регулятори ймовірно посилять контроль стандартів мостів. Як повідомляє Al Jazeera Economy, ця атака є частиною зростаючої тенденції порушень безпеки DeFi у 2026 році.

Остаточна думка
#rsETHAttackUpdate не просто вразив Kelp DAO. Втрата Aave 10 мільярдів доларів показала, наскільки тісно пов’язані всі аспекти DeFi. У майбутньому важливішим стане питання, хто аудить міст, ніж яка ставка APY.

Залишайтеся з нами, оскільки досі незрозуміло, як Kelp DAO розподілить відновлені 40 373 rsETH. Це рішення визначить збитки для власників rsETH на L2.