В апреле 2026 года криптоиндустрия столкнулась с масштабным системным риском в сфере DeFi. Уязвимость в конфигурации кроссчейн-моста KelpDAO, связанного с LayerZero, была использована злоумышленниками для несанкционированного выпуска rsETH. Эта атака вызвала цепную реакцию в экосистеме: убытки протокола Aave достигли почти 200 млн долларов США в виде необеспеченного долга, а совокупная заблокированная стоимость (TVL) в DeFi сократилась более чем на 1,3 млрд долларов всего за 72 часа. Инцидент выявил взаимосвязанные риски между кроссчейн-мостами и кредитными протоколами, а также стал поводом для углублённого обсуждения границ безопасности компонуемости в DeFi.
Как атака на KelpDAO привела к почти 200 млн долларов необеспеченного долга в Aave?
Атака развивалась в три этапа. Сначала злоумышленник воспользовался ошибкой в конфигурации кроссчейн-моста KelpDAO с использованием LayerZero, обошёл проверки разрешений и незаконно выпустил большое количество rsETH на исходной сети. На втором этапе он перевёл вновь выпущенные rsETH в основную сеть Ethereum и быстро обменял их на другие активы через несколько DEX, что привело к кратковременному отклонению курса rsETH от привязки. На третьем этапе, поскольку Aave интегрировал rsETH в качестве залогового актива, злоумышленник использовал избыточные rsETH для заимствования ETH и USDC, после чего вывел ликвидность, оставив за собой необеспеченный долг. По состоянию на 20 апреля 2026 года официальные данные Aave оценивают размер долга в диапазоне от 177 до 200 млн долларов США; окончательная сумма зависит от последующих процедур ликвидации и возврата средств.
Как была обнаружена уязвимость кроссчейн-моста rsETH и ошибка конфигурации LayerZero?
Корень проблемы заключался в некорректном управлении разрешениями на кроссчейн-мосте. Мост KelpDAO использовал универсальный протокол обмена сообщениями LayerZero, но не обеспечил строгую проверку адреса контракта-отправителя при настройке. Злоумышленник подделал легитимный идентификатор отправителя и отправил команду "mint" на целевую сеть. Контракты-ретрансляторы и конечные точки LayerZero обработали сообщение как обычное, поскольку проверяли только подпись сообщения, а не валидность бизнес-логики содержимого. Это классический пример "несоответствия конфигурации и бизнес-логики", который неоднократно встречался в атаках на кроссчейн-мосты в 2025–2026 годах. Хотя права на выпуск rsETH должны были быть ограничены определёнными контрактами, интерфейс выпуска токена на мосту ошибочно оказался доступен для внешних вызовов.
Почему Aave не удалось избежать 177 млн долларов необеспеченного долга?
Как децентрализованный кредитный протокол, Aave строит модель управления рисками на ончейн-оракулах и механизмах ликвидации. В данном случае отклонение курса rsETH было кратковременным, и злоумышленник успел завершить заимствование до падения цены. Когда цена rsETH начала снижаться, позиции злоумышленника уже оказались в убытке, но ликвидационные боты Aave не сработали вовремя по двум основным причинам. Во-первых, коэффициент обеспечения для rsETH в Aave был установлен довольно высоким, что дало злоумышленнику дополнительный запас. Во-вторых, злоумышленник распределил заимствования между несколькими адресами, из-за чего каждая отдельная позиция выглядела здоровой, хотя совокупный риск был огромен. Кроме того, оракул Aave не сразу отразил реальную торговую цену rsETH на DEX, поскольку механизм усреднённой цены по времени (TWAP) отставал, и ликвидации были запущены слишком поздно, чтобы предотвратить вывод активов.
Как компонуемость DeFi усиливает риски отдельных протоколов?
Компонуемость — ключевое преимущество DeFi, но она также ускоряет распространение рисков. В случае с KelpDAO риск быстро распространился по цепочке "кроссчейн-мост — токен рестейкинга — кредитный протокол". Уязвимость моста привела к избыточному выпуску rsETH, который, будучи залогом в Aave, позволил чрезмерно заимствовать средства и, в итоге, превратить фиктивную стоимость токенов в реальные выводы ликвидности. Этот механизм передачи нелинеен: затраты на атаку в 5 млн долларов обернулись почти 200 млн долларов необеспеченного долга и более чем 1,3 млрд долларов оттока TVL. После инцидента участники рынка быстро вывели ликвидность из Aave и других кредитных протоколов, что ещё больше усилило бегство капитала. По состоянию на 20 апреля 2026 года совокупный TVL DeFi снизился с примерно 115 млрд долларов до менее чем 102 млрд долларов, то есть потери превысили 13 млрд долларов.
Кто стоит за оттоком TVL на 1,3 млрд долларов?
Стремительное сокращение TVL отражает три уровня поведения рынка. Первый уровень — прямое влияние на Aave, где пользователи вывели около 4,5 млрд долларов ликвидности, чтобы избежать блокировки активов или ликвидации. Второй уровень — агрегаторы и протоколы с плечом, взаимодействующие с Aave: из-за неопределённости на рынке кредитования им пришлось сокращать позиции или приостанавливать сервисы, что привело к ещё 3,5 млрд долларов пассивного оттока. Третий уровень был вызван паникой на рынке: пользователи массово выводили активы из несвязанных кредитных и стейкинговых протоколов, что добавило примерно 5 млрд долларов оттока. Примечательно, что скорость этого бегства капитала стала одной из самых высоких в истории DeFi: TVL сократился на 11,3% всего за 72 часа. Наибольший отток пришёлся на ETH и стейблкоины — около 4,8 млрд и 5,2 млрд долларов соответственно.
Может ли страхование DeFi покрыть такие уязвимости?
На данный момент страховые протоколы DeFi предоставляют крайне ограниченное покрытие для подобных случаев. Основные решения, такие как Umbrella, обычно покрывают только прямые убытки из-за уязвимостей смарт-контрактов, но не косвенные долги, вызванные "межпротокольной передачей риска". В случае с атакой на KelpDAO долг Aave возник не из-за ошибки в собственных контрактах, а из-за аномальных входных данных от внешнего протокола. Открытым остаётся вопрос, должны ли страховые продукты покрывать такие "риски внешнего ввода". Кроме того, убытки от отклонения курса и неудачных ликвидаций часто исключаются из покрытия по статьям "рыночный риск" или "операционный риск". По состоянию на 20 апреля 2026 года ряд страховых провайдеров заявили, что рассматривают претензии по этому инциденту, однако большинство убытков, скорее всего, останутся незастрахованными. Эта уязвимость подчёркивает ограничения страхования DeFi при столкновении с системными рисками.
Итоги
Эксплойт кроссчейн-моста KelpDAO стал одним из самых серьёзных инцидентов безопасности DeFi в 2026 году. При затратах на атаку около 5 млн долларов ущерб составил почти 200 млн долларов необеспеченного долга в Aave и более 1,3 млрд долларов оттока TVL. Ключевые уроки: разрешения кроссчейн-мостов должны быть жёстко связаны с бизнес-логикой, кредитные протоколы должны ужесточать параметры риска для нестандартного залога, а страховые механизмы DeFi срочно нуждаются в расширении покрытия на случаи системной передачи риска. Компонуемость повышает эффективность капитала, но требует более чётких механизмов изоляции рисков между протоколами. Для индустрии этот инцидент — не конец, а важный этап в повышении стандартов управления рисками DeFi.
FAQ
Вопрос: Кто в итоге несёт убытки в размере 200 млн долларов необеспеченного долга Aave после атаки на KelpDAO?
Ответ: Первоначально долг покрывается резервами протокола Aave. Если резервов недостаточно, дефицит постепенно компенсируется за счёт будущих поступлений от ликвидаций и накопленных комиссий. Часть убытков в конечном итоге может косвенно лечь на поставщиков ликвидности Aave — в зависимости от решений, принимаемых сообществом.
Вопрос: Повлияет ли эта атака на другие кроссчейн-мосты, использующие LayerZero?
Ответ: Уязвимости в самом протоколе LayerZero не было — проблема заключалась в ошибке конфигурации проверки сообщений на стороне KelpDAO. Однако другие мосты с аналогично слабыми проверками разрешений также подвержены подобным атакам. Рекомендуется немедленно провести аудит логики проверки кроссчейн-сообщений во всех проектах.
Вопрос: Как инвесторам снизить риски, связанные с компонуемостью DeFi?
Ответ: Инвесторам стоит внимательно отслеживать взаимосвязи между протоколами и избегать концентрации крупных сумм в сложных многоуровневых стратегиях DeFi. Следует отдавать предпочтение протоколам, прошедшим несколько аудитов, внедрившим механизмы изоляции рисков и обладающим зрелыми планами ликвидации. Эффективной стратегией управления рисками также является диверсификация активов между различными типами протоколов.
