#rsETHAttackUpdate

Взлом моста Kelp DAO, шок на 10 миллиардов долларов для DeFi

В субботу 18 апреля 2026 года криптовалютный рынок был поражен крупнейшей атакой DeFi за год. Хакеры вывели ровно 116 500 rsETH, стоимостью около 292 миллионов долларов, с моста, основанного на LayerZero, который перемещает токен rsETH Kelp DAO между цепочками. Уязвимость произошла за одну транзакцию в 17:35 по всемирному времени. Атакующие обманули мост с помощью поддельного пакета LayerZero и опустошили rsETH.

Что произошло? Технический разбор
Уязвимость одного DVN: Маршрут моста Unichain в Ethereum работал на конфигурации 1 из 1 DVN, то есть только один проверяющий был активен. Атакующий манипулировал RPC-узлами, создал поддельный пакет и единственный проверяющий его подписал.
Мост опустошен: Адаптер OFT на Ethereum хранил 116 723 rsETH. После атаки баланс снизился до 223 rsETH всего за один блок.
Куда ушли деньги: Из украденных rsETH 89 567 были внесены в Aave V3 в качестве залога. Затем хакер взял взаймы 82 650 WETH и 821 wstETH против них. Факторы здоровья находились в диапазоне между 1,01 и 1,03, поэтому позиции находились на грани ликвидации.

Команда Kelp DAO активировала экстренный мультисиг и остановила все контракты в течение 46 минут. Если бы они не среагировали, злоумышленник мог бы вывести еще 40 000 rsETH и увеличить общие потери до 391 миллиона долларов.

Влияние на криптовалютный рынок: как развивались события

1. Кризис ликвидности в Aave
Aave держал 83 процента от общего объема rsETH. С учетом залога и заимствований, Aave внезапно оказалась под угрозой потенциальных плохих долгов на сумму от 124 до 230 миллионов долларов.
Результат:
Общий TVL Aave снизился с 45 миллиардов до 30 миллиардов долларов за три дня, что составляет падение на 33 процента.
Пользователи паниковали и выводили средства. Около 10,1 миллиарда долларов активов покинули протокол.
Процентные ставки по ETH выросли с 2 до 8 процентов — самый высокий уровень с января 2024 года.
Процентные ставки по USDT и USDC выросли с 3,4 до 14 процентов.

Aave заморозила рынки rsETH и wrsETH на 11 сетях, включая Ethereum, Arbitrum, Avalanche, Base, Linea и Mantle.

2. Движение цен и падение TVL
Токен AAVE потерял от 15 до 18 процентов своей стоимости.
Общий TVL DeFi снизился с 99 миллиардов до 89 миллиардов долларов 18 апреля, уничтожив 10 миллиардов долларов.
Джастин Сан снял 65 580 ETH за одну транзакцию, примерно на 154 миллиона долларов.

3. Цепная реакция
SparkLend и Fluid также закрыли свои рынки rsETH. Lido прекратила новые депозиты в продукты, связанные с rsETH. Инфраструктура Relay продолжала работать, но выводы из хранилищ были приостановлены из-за залога, связанного с рынком WETH в Aave.

Кто ответственен? Все взгляды обращены
LayerZero указала на Lazarus Group. В отчете RWATimes отмечена их подгруппа TraderTraitor. Кошельки злоумышленников финансировались через Tornado Cash.

Важная деталь: по данным Llamarisk и отчета Aave, собственные контракты Aave не были скомпрометированы. Проблема полностью заключалась в конфигурации моста Kelp DAO.

План восстановления: спасательный круг на 30 000 ETH
Mantle предложила предоставить кредит до 30 000 ETH для покрытия плохого долга Aave DAO. Срок кредита — 36 месяцев с процентной ставкой, равной доходности Lido плюс 1 процент. Стани Кулечов объявил о поддержке с фразой DeFi United.

Kelp DAO удалось восстановить 40 373 rsETH. Это покрывает только 26 процентов от спроса в 152 577 rsETH по всем L2. Версия rsETH на основном сети пока не затронута, так как она напрямую обеспечена стекингом.

Три урока из этого инцидента
1. Безопасность моста — безопасность DeFi: использование одного проверяющего DVN означает доверие пакету на 292 миллиона долларов. Проекты, использующие LayerZero, скорее всего, перейдут на мульти-DVN и опциональных проверяющих.
2. Системный риск в LRT: когда ликвидные токены повторного стекинга, такие как rsETH, концентрируются в крупных протоколах вроде Aave, одна уязвимость может потрясти весь рынок. Наличие 83 процентов в одном протоколе — слишком большая экспозиция.
3. Ореклы отстают: во время взлома Aave все еще оценивала rsETH по близкой к паритету цене и разрешала заимствование 106 467 ETH. Уязвимость моста не отразилась достаточно быстро в ценовых данных.
Что будет дальше
Краткосрочно версии rsETH на L2 останутся неликвидными. 40 373 rsETH в мосту не смогут покрыть все rsETH на L2. Это означает, что rsETH на Arbitrum, Base и Mantle будет временно вести себя как квитанции без хранилища.

Среднесрочно, если плохой долг Aave будет погашен через заем Mantle и выплаты Kelp DAO, доверие может восстановиться. Регуляторы, вероятно, усилят контроль стандартов мостов. Как сообщила Al Jazeera Economy, эта атака — часть растущей тенденции нарушений безопасности DeFi в 2026 году.

Заключительная мысль
#rsETHAttackUpdate не только поразил Kelp DAO. Потеря Aave 10 миллиардов долларов показала, насколько взаимосвязан весь DeFi. В будущем важнее будет спрашивать, кто аудитирует мост, чем какой APY предлагают.

Следите за новостями, потому что пока неясно, как Kelp DAO распределит восстановленные 40 373 rsETH. Это решение определит потери для держателей rsETH на L2.