#rsETHAttackUpdate

Індустрія децентралізованих фінансів стикнулася з багатьма інцидентами безпеки за роки, але експлуатація мосту rsETH 18 квітня 2026 року виділяється як одна з найсерйозніших і найнавчальніших атак, які коли-небудь бачив екосистема. Це був не просто ще один злом протоколу — це була прямий напад на структуру довіри, яка підтримує міжланцюгові фінанси, ліквідний рестейкінг і кредитування на забезпеченні через Ethereum.

KelpDAO, один із найважливіших протоколів ліквідного рестейкінгу в екосистемі Ethereum, став центром уваги після того, як зловмисники використали його інфраструктуру мосту на базі LayerZero і створили 116 500 непідтверджених токенів rsETH. Загальна сума збитків від експлуатації склала приблизно 292 мільйони доларів, що робить її однією з найбільших атак у DeFi за рік і одним із найнебезпечніших прикладів збоїв мосту.

Щоб зрозуміти масштаб цієї події, важливо зрозуміти сам rsETH. KelpDAO дозволяє користувачам вносити ETH і отримувати у відповідь rsETH, ліквідний токен рестейкінгу, який представляє застейканий Ethereum, водночас дозволяючи користувачам використовувати цю цінність у різних DeFi-програмах, таких як кредитування, фермерство та стратегії з використанням левериджу. Це робить rsETH високорозвиненим і інтегрованим у кілька протоколів.

Проблема почалася у системі перевірки мосту. Замість надійної децентралізованої моделі безпеки, міст покладався на небезпечну систему верифікації 1 з 1. Це означало, що відповідальність за підтвердження легітимності міжланцюгового повідомлення покладалася лише на одного валідатора. Як тільки цей довірчий пункт був зламаний, зловмисник отримав можливість створювати фальшиві підтвердження переказів.

Не було необхідності красти приватний ключ. Не було потрібно виявляти помилку у смарт-контракті. Контракти працювали точно так, як задумано — справжня слабкість полягала у самій моделі довіри.
Підробивши фальшиве повідомлення мосту, зловмисник обдурив систему, щоб вона створила токени rsETH, які ніколи не були забезпечені реальними депозитами ETH. Простими словами, фальшивий заставний капітал увійшов у систему DeFi, маскуючись під легітимну цінність.

Що зробило цю атаку особливо стратегічною, так це наступний хід зловмисника. Замість негайного продажу викрадених rsETH і обвалу ціни токена, вони використали новостворені токени як заставу у протоколах кредитування, таких як Aave, та інших інтегрованих платформах. Це дозволило їм позичати реальний ETH та інші цінні активи, одночасно утримуючи паніку на ринку тимчасово відкладеною.

Цей метод створив набагато глибшу проблему, ніж звичайний скидання токенів. Платформи кредитування раптово виявили себе з зобов’язаннями, забезпеченими активами, яких ніколи не було. Навіть якщо ці протоколи мали функціонуючі системи ліквідації та звичайні перевірки застави, вони все одно були під загрозою, оскільки сама заставна цінність була фальшивою.

Aave та кілька ринків кредитування швидко відреагували, заморозивши уражені позиції та призупинивши ризиковані операції. Надзвичайні заходи допомогли запобігти подальшому розповсюдженню шкоди, але проблема поганого боргу вже проникла у систему. Це підкреслило один із найбільших прихованих ризиків DeFi: композиційність.

Протоколи DeFi з’єднані, як доміно. Одна слабкість протоколу може швидко перетворитися на кризу іншого. Експлуатація rsETH довела, що збої мосту не залишаються ізольованими — вони поширюються через кредитування, леверидж, стейкінг і системи ліквідності по всій екосистемі.

Ця подія також викликала серйозні занепокоєння щодо стандартів безпеки мостів у всьому ринку. Багато протоколів зосереджуються переважно на аудитах смарт-контрактів, ігноруючи припущення валідаторів, залежності від оракулів і структури перевірки повідомлень. Насправді, конфігурація довіри часто є більш небезпечною, ніж вразливості у коді.

Для користувачів урок ясний: ризик DeFi — це не лише волатильність цін токенів. Це також ризик інфраструктури, експозиція мостів, припущення щодо довіри валідаторів і приховані залежності між протоколами.
Для розробників послання ще сильніше. Необхідно усунути точки відмови. Мультивалідаційна верифікація, більш надійна архітектура мостів, повільніша система аварійного реагування та суворіший контроль за заставами — вже не опція, а необхідність для виживання.

Експлуатація rsETH болюча, але водночас є дзвінком пробудження. Кожна велика атака змушує DeFi ставати зрілішим. Ця може стати тією миттю, яка назавжди змінить підхід галузі до безпеки мостів.
Адже це був не просто злом на 292 мільйони доларів.
Це попередження всьому світу DeFi.
І протоколи, що навчатимуться на цьому, виживуть у наступному циклі — а ті, що ігноруватимуть, можуть стати наступним головним заголовком.
‍#GateSquare #ContentMining #Gate13周年