18 апреля 2026 года кроссчейн-мост rsETH на базе LayerZero, разработанный KelpDAO, подвергся масштабной атаке. За 46 минут злоумышленник похитил 116 500 rsETH — примерно 292 млн долларов, что стало крупнейшим инцидентом в сфере безопасности DeFi за текущий год. В отличие от традиционных взломов смарт-контрактов, причиной атаки стал системный сбой в модели доверия между сетями. KelpDAO использовал мост LayerZero OFT, который опирается на DVN (Decentralized Verification Network) для обеспечения безопасности. Однако команда KelpDAO настроила схему 1/1 DVN — то есть подписи одного узла было достаточно для подтверждения кроссчейн-сообщений как «аутентичных». В официальной документации LayerZero по умолчанию рекомендуется использовать мультиподпись 2/2. Злоумышленник воспользовался уязвимостью однузловой схемы через социальную инженерию, скомпрометировал узел и подделал кроссчейн-сообщения, чтобы «создать токены из воздуха», выпустив rsETH в основной сети Ethereum без фактического обеспечения активами.
В ходе расследования LayerZero после инцидента предварительно установлено, что за атакой стоит подразделение TraderTraitor из северокорейской Lazarus Group. Злоумышленник внедрил ложные данные в нижестоящие RPC-узлы под DVN и применил DDoS-атаки для срабатывания режима аварийного переключения, вынудив валидатор подтвердить, что «транзакций не было», а затем внедрил поддельные сообщения. Такой технический сценарий выявил более глубокую структурную проблему: если безопасность кроссчейн-моста полностью зависит от одного валидатора, этот узел становится «ахиллесовой пятой» всей системы.
Как украденные rsETH создали огромный объем проблемных долгов на Aave
Злоумышленник внес вновь созданные rsETH в качестве залога на кредитные платформы, такие как Aave, и занял под них реальные активы. Поскольку эти rsETH не имели легитимного обеспечения, такие кредиты фактически создали огромный риск возникновения проблемных долгов для кредиторов. Согласно ончейн-данным, на различных L2-решениях Aave в качестве залога использовались rsETH на сумму около 359 млн долларов (по ценам оракулов). При полной загрузке позиций теоретический объем проблемных долгов мог бы достичь примерно 341 млн долларов — полностью вне зоны покрытия протокола Umbrella.
Это не было ошибкой в коде смарт-контракта Aave, а представляло собой системную цепную реакцию, вызванную «необоснованным доверием к залоговым активам». Как только токены без реального обеспечения попали в пулы кредитования, все пользователи этих пулов оказались под угрозой потенциальной неплатежеспособности. Компонуемость DeFi в данном случае выступила «палкой о двух концах»: с одной стороны, она обеспечивает эффективное движение капитала между протоколами, с другой — потеря доверия к одному активу мгновенно распространяется по всей экосистеме.
Как паника вызвала падение TVL DeFi на 13,2 млрд долларов
Страх быстро перерос в массовый вывод капитала. По данным DefiLlama, общий TVL DeFi за последние 48 часов снизился с 99,497 млрд до 86,286 млрд долларов, то есть примерно на 13,2 млрд. Только с Aave вывели 8,45 млрд долларов, и TVL платформы упал до 17,947 млрд. К 20 апреля TVL DeFi снизился еще больше — примерно до 82,4 млрд долларов, что на 25% ниже уровня в 110 млрд в начале 2026 года.
Основные оттоки пришлись на кредитные, рестейкинговые и доходные протоколы, при этом такие платформы, как Euler и Sentora, потеряли двузначную долю TVL. Примечательно, что цены токенов остались относительно стабильными: AAVE снизился всего на 2,5% за последние сутки, а UNI и LINK — менее чем на 1%. Такое расхождение между оттоком капитала и динамикой цен говорит о том, что рынок еще не полностью заложил долгосрочные последствия инцидента: выводы отражают ликвидностную панику, а держатели токенов, возможно, ждут ясности по поводу урегулирования проблемных долгов.
Что означает блокировка 71 млн долларов Советом безопасности Arbitrum
21 апреля 2026 года Совет безопасности Arbitrum предпринял экстренные меры: с кошелька злоумышленника было переведено 30 766 ETH (примерно 71 млн долларов, около четверти украденных средств) на промежуточный кошелек под управлением управления и активы были заморожены. Это было реализовано через системную транзакцию ArbitrumUnsignedTxType, которую не могут подписать обычные EOA, и которую может инициировать только Совет безопасности через ArbOS.
Это вмешательство дало два важных сигнала. Во-первых, оно продемонстрировало способность уровня управления L2 оперативно реагировать в чрезвычайных ситуациях — важный этап для дорожных карт масштабирования Layer 2. Во-вторых, подобное вмешательство в пользовательские средства крайне редко и вызывает споры в ончейн-экосистемах, поскольку вводит элемент дискреционного контроля в сеть, задуманную как permissionless. В Arbitrum подчеркнули, что действие основано на подтверждении личности злоумышленника правоохранительными органами и не затронуло обычных пользователей или приложения. Тем не менее этот прецедент поднимает более глубокий вопрос: когда «permissionless» сети сталкиваются с атаками на уровне государств, где должны проходить границы децентрализованного управления?
Почему основатель Curve публично предупредил о рисках неразделенных моделей кредитования
Основатель Curve Finance Михаил Егоров после инцидента опубликовал заявление, в котором указал на потенциальные риски текущей модели «неразделенного кредитования», выявленные кризисом проблемных долгов KelpDAO. По его словам, такая модель обеспечивает высокую масштабируемость, но связана с повышенными рисками и требует более строгих рамок управления активами. Егоров также отметил, что многие недавние инциденты безопасности, которых можно было избежать, были связаны с централизованными точками отказа, и что предотвращение — лучшее решение, чем устранение последствий. Он призвал Ethereum Foundation и Solana Foundation возглавить разработку единых стандартов безопасности DeFi.
Егоров отдельно выделил полностью изолированные или гибридные модели кредитования в качестве альтернатив, а также отметил, что запланированная архитектура «hub and spoke» в Aave v4 может повысить безопасность кредитных протоколов. Его анализ затрагивает суть давней дилеммы DeFi: баланс между эффективностью капитала и изоляцией рисков. Неразделенные модели обеспечивают свободное движение капитала между протоколами, повышая эффективность, но при этом позволяют кризису доверия к одному активу быстро распространяться по всей кредитной сети. По сути, Егоров задает вопрос: достиг ли DeFi точки, когда ради системной устойчивости необходимо пожертвовать частью эффективности?
Три сценария урегулирования проблемных долгов Aave и их структурные издержки
Основатель DefiLlama 0xngmi выделил три возможных сценария для KelpDAO по выходу из кризиса, каждый из которых влечет за собой определенные компромиссы.
Вариант 1: Социализация убытков путем пропорционального сокращения балансов всех держателей rsETH на 18,5%. Если весь залог rsETH в Aave будет обработан таким образом, объем проблемных долгов составит около 216 млн долларов. Протокол Umbrella покроет 55 млн, казна Aave — 85 млн, а дефицит составит 76 млн долларов. Такой подход распределяет убытки между всеми пользователями, но подрывает доверие к безопасности активов в протоколе.
Вариант 2: Защитить только rsETH в основной сети Ethereum, а все rsETH на L2 признать недействительными. На L2-платформах Aave залог rsETH оценивается примерно в 359 млн долларов; при полной загрузке проблемный долг может достигнуть 341 млн, который не покрывается Umbrella. В этом случае Aave придется использовать казну или привлекать заемные средства для частичного спасения рынка, а наиболее пострадавшие сети — Arbitrum, Mantle и Base — могут быть оставлены, что приведет к их обвалу. Такой вариант снижает прямое воздействие на Aave Mainnet, но серьезно подрывает репутацию всей экосистемы L2.
Вариант 3: Восстановить распределение активов по состоянию на момент атаки, полностью компенсировав только тем адресам, которые владели rsETH на тот момент. Поздние покупатели или получатели понесут убытки. Даже после покрытия Umbrella останется около 91 млн долларов убытков. Однако из-за быстрых перемещений средств после атаки и пулевой природы DeFi-протоколов технически почти невозможно точно различить разные партии внесенных средств, что делает реализацию этого варианта крайне сложной.
Почему апрель 2026 года стал водоразделом для безопасности DeFi
Инцидент с KelpDAO не был единичным событием. Только за первые 20 дней апреля 2026 года криптопротоколы потеряли более 606 млн долларов из-за хакерских атак — это худший месячный показатель с февраля 2025 года. 1 апреля крупнейшая биржа perpetuals на Solana, Drift Protocol, за 12 минут лишилась 285 млн долларов. На долю KelpDAO и Drift пришлось около 95% всех потерь за месяц.
Данные годового отчета SlowMist за 2025 год дают более широкую перспективу: за 2025 год зафиксировано 200 инцидентов безопасности с общими потерями 2,935 млрд долларов. Хотя число инцидентов снизилось на 51% по сравнению с 2024 годом, общий объем убытков вырос примерно на 46%. Наибольшей целью стали DeFi-проекты — 126 инцидентов (63% от общего числа) и 649 млн долларов потерь.
В совокупности эти цифры показывают явную тенденцию: злоумышленники переходят от «массовости» к «качеству» — меньше инцидентов, больше потери за одну атаку и более сложные методы. В случае KelpDAO злоумышленник воспользовался ошибкой на уровне конфигурации доверия, а не уязвимостью кода. Рост сложности атак означает, что традиционных аудитов безопасности уже недостаточно для противодействия современным угрозам.
Заключение
Взлом кроссчейн-моста KelpDAO стал самым значимым шоком для безопасности DeFi в 2026 году. Этот инцидент выявил фундаментальную уязвимость архитектур с одним валидатором в кроссчейн-моделях доверия, показал, как кризис доверия к активам может быстро распространяться по компонуемой экосистеме DeFi, и сместил риски на более широкий рынок кредитования через экспозицию проблемных долгов Aave. Экстренное вмешательство Совета безопасности Arbitrum дало ограниченную возможность возврата активов, но также вызвало глубокие дискуссии о границах децентрализованного управления.
Предупреждения Егорова о неразделенных моделях кредитования и его призыв к отраслевым стандартам безопасности отражают переломный момент структурного самоанализа для DeFi. Противоречие между эффективностью капитала и системной устойчивостью стало как никогда острым — логика «компонуемых кубиков», обеспечившая стремительный рост DeFi, теперь проходит стресс-тест на фоне кризиса доверия. Серия громких инцидентов безопасности в апреле 2026 года ясно дает понять: если DeFi-протоколы не создадут механизмы изоляции системных рисков, каждый «избежимый» взлом будет и дальше подтачивать фундамент долгосрочного доверия к отрасли.
Часто задаваемые вопросы (FAQ)
Вопрос: Каков прямой финансовый ущерб от атаки на KelpDAO?
Злоумышленник похитил 116 500 rsETH, а общий ущерб оценивается в 292 млн долларов по рыночным ценам на момент атаки. Совет безопасности Arbitrum заморозил около 71 млн долларов украденных активов — примерно четверть от общей суммы.
Вопрос: Каков максимальный риск проблемных долгов для Aave на текущий момент?
В зависимости от стратегии урегулирования экспозиция Aave по проблемным долгам составляет от 123,7 млн до 341 млн долларов. Если убытки ограничатся L2, объем проблемных долгов может достичь 341 млн долларов, которые не покрываются Umbrella.
Вопрос: Чем эта атака отличается от других инцидентов безопасности DeFi?
Коренная причина заключалась не в уязвимости кода смарт-контракта, а в ошибке конфигурации кроссчейн-моста: использование KelpDAO схемы 1/1 с одним валидатором DVN означало, что компрометация одного валидатора вела к полному краху доверия между сетями.
Вопрос: Какие конкретные рекомендации дал Егоров из Curve?
Егоров призвал к созданию единых стандартов безопасности DeFi, предложил сокращать централизованные точки отказа, внедрять механизмы распределения доверия там, где необходимы централизованные решения, а также призвал Ethereum и Solana Foundation возглавить разработку принципов проектирования и стандартов верификации безопасности.
Вопрос: Что стало причиной резкого падения TVL в DeFi?
Два основных фактора: протоколы заблаговременно замораживали затронутые рынки для управления рисками, а пользователи массово выводили средства на фоне паники. В результате кредитные, рестейкинговые и доходные протоколы потеряли двузначную долю TVL, а общий показатель снизился с примерно 110 млрд долларов в начале года до около 82,4 млрд.
Вопрос: Каковы долгосрочные последствия этого инцидента для DeFi?
Событие выявило структурные изъяны неразделенных моделей кредитования и кроссчейн-архитектур доверия, и может подтолкнуть отрасль к приоритету изоляции системных рисков над максимальной эффективностью капитала. Такие разработки, как модель «hub and spoke» в Aave v4 и обсуждение единых стандартов безопасности, о которых говорил Егоров, могут стать ключевыми направлениями для наблюдения в будущем.
