Децентрализованный финансовый сектор (DeFi) пережил в апреле 2026 года самый серьезный кризис безопасности за год. 18 апреля 2026 года примерно в 17:35 по всемирному координированному времени (UTC) кросс-чейн мост rsETH Kelp DAO, построенный на LayerZero, подвергся масштабной атаке. Злоумышленник сгенерировал из воздуха около 116 500 rsETH в основной сети Ethereum. На тот момент их стоимость составляла примерно 292 млн долларов США — около 18 % от общего объема обращения rsETH. Это стало не только крупнейшим единичным инцидентом безопасности DeFi в 2026 году, но и вызвало волну массового вывода капитала из отрасли. Общая сумма заблокированных средств (TVL) в DeFi упала примерно со 110 млрд долларов в начале 2026 года до 82,4 млрд долларов, снизившись на 25 % — до минимального значения за год. В отличие от предыдущих атак на отдельные протоколы, этот случай выявил совокупный эффект сразу трех крупных уязвимостей: риски конфигурации кросс-чейн инфраструктуры, ошибки в логике повторного стейкинга обеспечения и тесную взаимосвязь DeFi-протоколов. Эта тройная угроза требует пристального внимания всего рынка.
Атака была реализована всего за 46 минут
Атака началась 18 апреля 2026 года в 17:35 по UTC. Получив стартовый капитал через Tornado Cash, злоумышленник вызвал функцию lzReceive в контракте LayerZero EndpointV2, отправив поддельное кросс-чейн сообщение в мостовой контракт Kelp DAO в основной сети Ethereum. В этом сообщении ложно утверждалось, что активы rsETH заблокированы в исходной сети, и запрашивался выпуск эквивалентного объема в целевой сети. Контракт не провел строгую проверку исходной цепочки сообщения и выполнил выпуск, переведя 116 500 rsETH на адрес, контролируемый злоумышленником.
Основная опасность заключалась в следующем шаге атакующего. Вместо того чтобы сразу продать rsETH на вторичных рынках — где ликвидность уже была низкой, а крупные продажи привели бы к сильному проскальзыванию, — хакер разместил эти активы в качестве обеспечения в крупных кредитных протоколах, таких как Aave V3 и V4, а также Compound V3, и занял примерно 236 млн долларов в реальных WETH/ETH.
Примерно через 46 минут после начала атаки Kelp DAO активировал экстренную приостановку через мультиподпись, успешно предотвратив две последующие попытки вывода еще около 80 000 rsETH и не допустив дополнительных потерь. Вслед за этим Aave срочно заморозил все рынки, связанные с rsETH, на V3 и V4, а ряд протоколов, включая Ethena, Curve Finance и ether.fi, приостановили или заморозили кросс-чейн функции, связанные с LayerZero.
Хронология атаки
| Время (UTC) | Событие |
|---|---|
| 17:35 | Злоумышленник инициирует первую поддельную кросс-чейн транзакцию, успешно выпускает 116 500 rsETH |
| 17:35–17:40 | Злоумышленник партиями размещает rsETH в Aave и других кредитных протоколах, занимает WETH/ETH |
| ~18:20 | Kelp DAO активирует экстренную приостановку контракта через мультиподпись, предотвращает дальнейшие атаки |
| В течение нескольких часов после атаки | Aave замораживает рынки rsETH, несколько протоколов приостанавливают функции LayerZero |
Обзор данных on-chain: давление на TVL в топ-20 блокчейнах
По последним данным DeFiLlama (на 21 апреля 2026 года), общий TVL DeFi после атаки снизился до примерно 82,4 млрд долларов, что составило однодневное падение на 5,6 %. Это одно из самых резких дневных падений с 2024 года — в топ-2 % по глубине. Больше всего пострадал сектор кредитования: TVL сократился примерно на 13 %, в сегменте ликвидного стейкинга снижение составило около 3,4 %, а децентрализованные биржи и деривативные протоколы потеряли от 2 % до 3 %.
Ethereum, на который приходится 53,91 % общего TVL DeFi, за последние 30 дней потерял 17,91 % TVL. Текущий TVL составляет около 46,17 млрд долларов, что значительно ниже более 56 млрд долларов до атаки. Среди топ-20 блокчейнов лишь немногие показали небольшой положительный прирост, в то время как большинство испытали месячные коррекции, причем отток капитала ускорился после инцидента.
Во-первых, атака усилила уже существующую тенденцию оттока капитала. Месячное снижение TVL Ethereum достигло 17,91 % на фоне общего снижения аппетита к риску на рынке. Во-вторых, некоторые блокчейны показали небольшой недельный отскок (например, Sei +7,85 % за 7 дней; PulseChain -0,24 % за 7 дней, но +13,77 % за месяц), что свидетельствует о перераспределении капитала в целях управления рисками, а не полном уходе из экосистемы. В-третьих, самые резкие месячные снижения продемонстрировали сети, тесно связанные с экосистемой повторного стейкинга Ethereum или с кросс-чейн мостами, такие как Mantle (-52,01 %), Ethereal (-18,55 %) и Hyperliquid L1 (-17,73 %), что отражает направленные шоки по связанным протоколам.
Корневая причина: незамеченная уязвимость конфигурации
Ключевая уязвимость в этой атаке была связана не с ошибкой в смарт-контракте, а с некорректной настройкой параметров развертывания. Кросс-чейн контракт rsETH Kelp DAO использовал схему 1/1 DVN (Decentralized Verifier Network), то есть для подтверждения кросс-чейн сообщений достаточно было одного узла-верификатора. В официальной документации LayerZero по умолчанию рекомендуется использовать схему 2/2 с несколькими верификаторами.
Технический путь атаки был следующим: сначала злоумышленник получил список RPC-узлов, используемых DVN LayerZero, скомпрометировал два независимых RPC-кластера и заменил их бинарные файлы op-geth. Затем он выборочно подделывал ответы — отправлял вредоносные пакеты данных только DVN, а остальным IP-адресам возвращал корректные данные, чтобы не быть обнаруженным. Одновременно были проведены DDoS-атаки на некомпрометированные RPC-узлы, что вынудило DVN переключиться на зараженные узлы. После валидации поддельного сообщения вредоносные бинарники самоуничтожались для удаления следов.
В своем отчете после инцидента LayerZero Labs предварительно связала атаку с группой TraderTraitor, входящей в состав северокорейской Lazarus Group, которая также была причастна к атаке на Drift Protocol в начале месяца. LayerZero подчеркнула, что инцидент затронул только конфигурацию rsETH Kelp DAO; другие приложения, использующие схему с несколькими DVN, не пострадали, а сам протокол уязвимостей не имел.
Споры о распределении ответственности
После инцидента между Kelp DAO, LayerZero и Aave разгорелись споры о том, кто несет ответственность. LayerZero заявила, что использование схемы 1/1 DVN Kelp DAO стало непосредственной причиной атаки — «единой точкой отказа» с фундаментальной уязвимостью. Основатель Kelp DAO Чарли признал в X, что команда ошибочно использовала конфигурацию 1/1 DVN, и пообещал полностью компенсировать всем пострадавшим пользователям, явно отвергнув широко опасаемый сценарий «социализации убытков».
В то же время ведущий разработчик Yearn Finance banteg оспорил определение инцидента как «отравления RPC», утверждая, что злоумышленник нарушил границу доверия LayerZero, а серьезность проблемы была недооценена. Сторонние аналитики отметили, что хотя Kelp DAO и выбрал схему 1/1 DVN, как разработчик базового кросс-чейн протокола LayerZero также несет часть архитектурной ответственности.
Примечательно, что бывшая команда по управлению рисками Aave — BGD Labs — еще в январе прошлого года указывала Kelp DAO на проблему с конфигурацией DVN. Однако, несмотря на то что Kelp DAO принял к сведению это замечание, никаких существенных изменений внесено не было, а Aave не продолжил мониторинг ситуации. Эта история подчеркивает структурный разрыв между выпуском предупреждений по безопасности и их реальной реализацией.
Влияние на отрасль: безнадежная задолженность Aave и эффект заражения протоколов
Больше всего от инцидента пострадал протокол Aave. Злоумышленник использовал похищенные rsETH в качестве обеспечения для займа ETH в Aave, что привело к образованию безнадежной задолженности на сумму от 177 до 196 млн долларов, которую невозможно было покрыть стандартными механизмами ликвидации. В ряде рынков Aave V3 коэффициент использования ETH кратковременно достиг 100 %, что вызвало волну выводов средств.
В течение 48 часов после атаки TVL Aave снизился с примерно 26,4 млрд долларов до 17 млрд долларов — рекордный краткосрочный отток в 9,45 млрд долларов, крупнейший в истории протокола. Цена токена AAVE после инцидента упала примерно на 10–20 %.
По состоянию на 21 апреля 2026 года, по данным Gate: цена AAVE составляет около 105,73 доллара, ETH — около 2 309 долларов. Все цены основаны на данных платформы Gate в режиме реального времени и указаны в долларах США.
Список мер по предотвращению распространения кризиса
Помимо Aave, ряд крупных протоколов также принял экстренные меры. Ethena продлила приостановку работы своего моста LayerZero OFT; Curve Finance заморозил инфраструктуру LayerZero, что затронуло бриджинг CRV с BNB, Sonic, Avalanche и других сетей; ether.fi и Tron DAO также остановили свои мосты LayerZero OFT; SparkLend и Fluid одновременно заморозили позиции с rsETH. Compound V3 получил около 39,4 млн долларов безнадежной задолженности, Euler — примерно 840 000 долларов.
Эта цепная реакция выявила структурную уязвимость DeFi: обернутые активы типа LRT (например, rsETH) критически зависят от безопасности мостов. Когда крупные кредитные протоколы принимают такие высокорисковые активы в качестве обеспечения, любая базовая уязвимость может мгновенно распространиться по всей кредитной экосистеме через связки протоколов. Модульность DeFi («эффект конструктора») многократно усиливает передачу рисков.
Три сценария урегулирования безнадежной задолженности — и дилемма
Основатель DeFiLlama 0xngmi выделил три возможных сценария разрешения кризиса Kelp DAO:
Сценарий 1: социализация убытков. Kelp DAO равномерно распределяет потери среди всех держателей rsETH, применяя ~18,5 % дисконт. В этом случае все позиции с обеспечением rsETH в основной сети Aave ликвидируются, возникает около 216 млн долларов безнадежной задолженности. Протокол Umbrella может покрыть около 55 млн долларов, еще 85 млн долларов берет на себя казна Aave, а оставшиеся 76 млн долларов Kelp DAO должен покрыть за счет займов или продажи токенов.
Сценарий 2: отказ от пользователей L2. Kelp DAO защищает только держателей rsETH в основной сети, признавая rsETH на L2 бесполезным. В настоящее время на L2 в Aave находится около 359 млн долларов в обеспечении rsETH; при максимальном плече это приведет к образованию примерно 341 млн долларов безнадежной задолженности, без покрытия со стороны Umbrella. Скорее всего, Aave откажется от наиболее пострадавших рынков L2, таких как Arbitrum, Mantle и Base.
Сценарий 3: компенсация по снимку до атаки. Kelp DAO полностью компенсирует только тем, кто держал rsETH до атаки, на основании снимка состояния, а покупатели или получатели токенов после атаки несут убытки. Однако из-за масштабного движения средств после атаки и особенностей пулов ликвидности DeFi практически невозможно различить депозиты разных периодов, поэтому этот вариант технически не реализуем.
У каждого сценария есть свои плюсы и минусы: первый наиболее справедлив, но создает значительную финансовую нагрузку на казну Aave и Kelp DAO; второй минимизирует ущерб для основной сети Aave, но подрывает доверие к экосистеме L2 и может вызвать дальнейшее распространение кризиса; третий теоретически ограничивает распространение убытков, но почти невыполним на практике. По состоянию на 21 апреля 2026 года основатель Kelp DAO пообещал полную компенсацию пользователям, однако детали плана и источники финансирования пока не раскрыты, а окончательное решение остается неопределенным.
Заключение
Атака на мост Kelp DAO с единовременными потерями в 292 млн долларов спровоцировала крупнейший системный отток капитала в DeFi в 2026 году. TVL в топ-20 блокчейнов заметно снизился, из Aave было выведено несколько миллиардов долларов, а ряд крупных протоколов ввели экстренные заморозки — это иллюстрирует масштабное сжатие ликвидности в отрасли.
Глубинная причина инцидента заключалась не в изолированной ошибке смарт-контракта, а в совокупности уязвимостей: неправильной конфигурации кросс-чейн инфраструктуры, ошибках в логике повторного стейкинга обеспечения и высокой степени связности протоколов. Риски единой точки валидации, несоответствия LRT-активов и пробелы в аудитах по вопросам конфигурации формируют комплекс взаимосвязанных структурных вызовов.
С точки зрения безопасности отрасли крайне необходимы стандарты комплексного аудита, охватывающие как код смарт-контрактов, так и параметры развертывания и архитектуру кросс-чейн валидации. Обязательный аудит должен включать настройки порогов DVN и резервирование RPC-узлов. Для пользователей участие в протоколах повторного стейкинга должно предполагать не только оценку доходности, но и анализ конфигурации безопасности моста (например, количества валидаторов и порогов), прозрачности резервов базовых активов и репутации команды в вопросах реагирования на инциденты.
Долгосрочное здоровье DeFi зависит не только от устойчивого роста ликвидности и доходности, но и от системного повышения уровня безопасности инфраструктуры и механизмов изоляции рисков. Каждый крупный инцидент безопасности выявляет структурные слабости и становится стресс-тестом для управления и антикризисного реагирования отрасли. История с Kelp DAO еще не завершена. Именно эффективность дальнейших действий и институциональных реформ определит, станет ли этот случай поворотным моментом на пути зрелости DeFi — или же останется очередным забытым инцидентом безопасности.
