У квітні 2026 року криптоіндустрія зіткнулася з масштабною системною подією ризику в DeFi. Уразливість у налаштуваннях кросчейн-моста KelpDAO, пов’язаного з LayerZero, була використана зловмисниками, що призвело до несанкціонованого випуску rsETH. Ця атака поширилася по екосистемі, спричинивши майже 200 мільйонів доларів проблемної заборгованості для протоколу Aave і знищивши понад 1,3 мільярда доларів загальної заблокованої вартості (TVL) у DeFi всього за 72 години. Інцидент не лише продемонстрував взаємозалежність ризиків між кросчейн-мостами та кредитними протоколами, а й спровокував глибоку дискусію щодо меж безпеки композитності в DeFi.
Як атака на KelpDAO призвела до майже 200 мільйонів доларів проблемної заборгованості для Aave?
Атака відбулася у три етапи. Спочатку зловмисник скористався вадою у налаштуваннях кросчейн-моста KelpDAO через LayerZero, обійшов перевірки дозволів і незаконно випустив велику кількість rsETH на вихідному ланцюзі. На другому етапі зловмисник перекинув новостворені rsETH на основну мережу Ethereum і швидко обміняв їх на інші активи через декілька DEX, що спричинило короткочасне відхилення курсу rsETH. На третьому етапі, оскільки Aave інтегрував rsETH як заставний актив, зловмисник використав надлишкові rsETH для позики ETH та USDC, після чого вивів ліквідність, залишивши по собі незабезпечену проблемну заборгованість. Станом на 20 квітня 2026 року, за офіційними даними Aave, обсяг проблемної заборгованості оцінюється у 177–200 мільйонів доларів, а остаточна сума залежатиме від подальших процедур ліквідації та відновлення.
Як стала відома уразливість кросчейн-моста rsETH і неправильне налаштування LayerZero?
Корінь проблеми полягав у некоректному управлінні дозволами на кросчейн-мості. Міст KelpDAO використовував універсальний протокол обміну повідомленнями LayerZero, але не забезпечив сувору перевірку адреси контракту відправника під час налаштування. Зловмисник підробив ідентифікатор легітимного відправника і подав інструкцію "mint" (випуску) на цільовий ланцюг. Контракти relayer та endpoint LayerZero виконали повідомлення як звичайне, оскільки їхня перевірка обмежувалася лише підписом повідомлення, а не перевіркою ділової логіки його змісту. Це класичний випадок "невідповідності налаштувань і ділової логіки", який неодноразово спостерігався у кросчейн-атаках у 2025–2026 роках. Хоча право випуску rsETH мало бути обмежене певними контрактами, інтерфейс випуску на кросчейн-мості помилково залишився відкритим для зовнішніх викликів.
Чому Aave не змогла уникнути 177 мільйонів доларів проблемної заборгованості?
Як децентралізований кредитний протокол, модель ризику Aave базується на ончейн-ореклі ціноутворення та механізмах ліквідації. У цьому випадку відхилення курсу rsETH було короткочасним, і зловмисник встиг здійснити запозичення до падіння ціни. Коли ціна rsETH почала знижуватися, позиції зловмисника вже були під водою, але боти ліквідації Aave не спрацювали вчасно з двох основних причин. По-перше, коефіцієнт застави rsETH у Aave був встановлений досить високим, що дало зловмиснику додатковий простір для маневру. По-друге, зловмисник розподілив позики між кількома адресами, що зробило кожну позицію на вигляд здоровою, хоча сукупний ризик був значним. Крім того, оракул Aave не одразу відобразив реальну торгову ціну rsETH на DEX, оскільки механізм середньозваженої ціни за часом (TWAP) мав затримку, через що ліквідації почалися надто пізно, щоб запобігти виведенню активів.
Як композитність DeFi підсилює ризики окремих протоколів?
Композитність є ключовою перевагою DeFi, але водночас прискорює передачу ризиків. У випадку з KelpDAO ризик швидко поширився ланцюгом "кросчейн-мост — токен рестейкінгу — кредитний протокол". Уразливість моста призвела до надмірного випуску rsETH, який, будучи заставою на Aave, дозволив надмірне кредитування і, зрештою, конвертацію фіктивної вартості в реальні виведення ліквідності. Цей механізм передачі є нелінійним: витрати на атаку у 5 мільйонів доларів спричинили майже 200 мільйонів доларів проблемної заборгованості та понад 1,3 мільярда доларів відтоку TVL. Після інциденту учасники ринку масово виводили ліквідність з Aave та інших кредитних протоколів, що ще більше посилило відтік капіталу. Станом на 20 квітня 2026 року загальний TVL у DeFi знизився з приблизно 115 мільярдів доларів до менш ніж 102 мільярдів доларів, тобто втрати перевищили 13 мільярдів доларів.
Хто стоїть за відтоком TVL на 1,3 мільярда доларів?
Швидке падіння TVL відображає три рівні ринкової поведінки. Перший рівень — це прямий вплив на Aave, де користувачі вивели близько 4,5 мільярда доларів ліквідності, щоб уникнути блокування активів чи ліквідації. Другий рівень — агрегатори та протоколи з плечем, що взаємодіють з Aave: через невизначеність у базовому кредитному ринку вони були змушені скорочувати позиції або призупиняти сервіси, що призвело до ще 3,5 мільярда доларів пасивного відтоку. Третій рівень був спричинений панікою на ринку: користувачі масово виводили активи навіть з не пов’язаних кредитних і стейкінгових протоколів, що дало ще близько 5 мільярдів доларів відтоку. Варто зазначити, що швидкість цього відтоку капіталу є однією з найвищих в історії DeFi: TVL знизився на 11,3% лише за 72 години. Найбільші втрати зазнали ETH і стейблкоїни — приблизно 4,8 мільярда та 5,2 мільярда доларів відповідно.
Чи може DeFi-страхування покрити "сліпі зони" таких атак?
Сучасні протоколи DeFi-страхування забезпечують дуже обмежене покриття у подібних випадках. Основні страхові рішення, такі як Umbrella, зазвичай покривають лише прямі збитки від вразливостей смартконтрактів, але не непряму проблемну заборгованість, спричинену "міжпротокольною передачею ризиків". У випадку з KelpDAO проблемна заборгованість Aave виникла не через ваду у власних контрактах, а внаслідок аномальних зовнішніх даних. Чи має страхування покривати такі "ризики зовнішнього впливу" — це питання досі відкрите для галузі. Крім того, втрати від відхилення курсу та невдалих ліквідацій часто виключаються з покриття як "ринковий ризик" або "операційний ризик". Станом на 20 квітня 2026 року декілька страхових провайдерів заявили, що розглядають заявки, пов’язані з цим інцидентом, але більшість втрат, ймовірно, залишиться незастрахованою. Ця "сліпа зона" підкреслює обмеження DeFi-страхування при зіткненні із системним ризиком.
Підсумок
Експлойт кросчейн-моста KelpDAO став одним із найсерйозніших інцидентів безпеки DeFi у 2026 році. При витратах на атаку близько 5 мільйонів доларів він спричинив майже 200 мільйонів доларів проблемної заборгованості в Aave і понад 1,3 мільярда доларів зниклого TVL. Основні висновки: дозволи на кросчейн-мостах мають бути жорстко пов’язані з діловою логікою, кредитні протоколи повинні посилювати параметри ризику для нестандартної застави, а страхові рамки DeFi потребують термінового розширення для покриття системної передачі ризиків. Хоча композитність підвищує ефективність капіталу, вона також вимагає чіткіших механізмів ізоляції ризиків між протоколами. Для галузі цей інцидент — не кінець, а переломний момент для оновлення стандартів управління ризиками DeFi.
FAQ
Q: Хто зрештою нестиме 200 мільйонів доларів проблемної заборгованості від атаки на KelpDAO в Aave?
A: Спочатку проблемна заборгованість покривається резервами протоколу Aave. Якщо резервів недостатньо, протокол поступово компенсує дефіцит за рахунок майбутніх ліквідацій та накопичених комісій. Частина втрат може зрештою лягти опосередковано на постачальників ліквідності Aave, залежно від рішень спільноти.
Q: Чи вплине ця атака на інші кросчейн-мости, що використовують LayerZero?
A: Сам протокол LayerZero не мав уразливості — проблема полягала у неправильній валідації повідомлень у KelpDAO. Однак інші мости з подібно слабкими перевірками дозволів також піддаються ризику аналогічних атак. Наполегливо рекомендується негайно провести аудит логіки валідації кросчейн-повідомлень у всіх проєктах.
Q: Як інвесторам уникати подібних ризиків композитності DeFi?
A: Інвесторам варто уважно стежити за залежностями між протоколами та уникати концентрації великих обсягів активів у складних багаторівневих DeFi-стратегіях. Перевагу слід надавати протоколам, які пройшли кілька аудитів, впровадили механізми ізоляції ризиків і мають зрілі плани ліквідації. Диверсифікація активів між різними архітектурами протоколів також є ефективною стратегією управління ризиками.
