Топ-20 блокчейнів DeFi: зниження TVL та криза довіри до кросчейн-бриджів після інциденту з Kelp DAO

Децентралізований фінансовий сектор (DeFi) зазнав найсерйознішої безпекової кризи року у квітні 2026 року. 18 квітня 2026 року приблизно о 17:35 (UTC) кросчейн-міст rsETH від Kelp DAO, побудований на LayerZero, став об’єктом масштабної атаки. Зловмисник створив приблизно 116 500 rsETH «з повітря» на основній мережі Ethereum, що на той момент оцінювалось у близько 292 мільйони доларів США — це становило близько 18% від загальної циркуляції rsETH. Цей інцидент став не лише найбільшим окремим безпековим випадком у DeFi за 2026 рік, а й спровокував хвилю відтоку капіталу по всій галузі. Загальна вартість заблокованих активів у DeFi (TVL) впала з приблизно 110 мільярдів доларів на початку 2026 року до близько 82,4 мільярда доларів, тобто на 25% — до мінімального рівня за рік. На відміну від попередніх атак на окремі протоколи, ця подія виявила сукупний ефект трьох ключових вразливостей: ризики конфігурації кросчейн-інфраструктури, помилки в логіці повторного стейкінгу забезпечення та надмірно тісну інтеграцію DeFi-протоколів. Цей потрійний ризик вимагає серйозної уваги на рівні всієї індустрії.

Атака розгорнулась лише за 46 хвилин

Атака почалась 18 квітня 2026 року о 17:35 (UTC). Після отримання початкових коштів через Tornado Cash, зловмисник викликав функцію lzReceive у контракті LayerZero EndpointV2, надіславши підроблене кросчейн-повідомлення до місту Kelp DAO на основній мережі Ethereum. У цьому повідомленні неправдиво стверджувалось, що rsETH заблоковано на вихідному ланцюзі, і запрошувалось вивільнення еквівалентної суми на цільовому ланцюзі. Контракт не перевірив належним чином походження кросчейн-повідомлення і виконав вивільнення, передавши 116 500 rsETH на адресу під контролем зловмисника.

Основна небезпека полягала у подальших діях атакуючого. Замість того, щоб продавати rsETH на вторинних ринках — де ліквідність була низькою, а великі продажі спричинили б значне прослизання, — хакер вніс ці активи як забезпечення у великі лендингові протоколи, такі як Aave V3 і V4, а також Compound V3, позичивши приблизно 236 мільйонів доларів у реальному WETH/ETH.

Приблизно через 46 хвилин після початку інциденту Kelp DAO активував екстрену зупинку через мультипідпис, успішно заблокувавши ще дві спроби вивести додатково близько 80 000 rsETH і запобігши подальшим втратам. Згодом Aave терміново заморозив усі ринки, пов’язані з rsETH, на V3 і V4, а низка протоколів — зокрема Ethena, Curve Finance та ether.fi — призупинили або заморозили кросчейн-функції, пов’язані з LayerZero.

Хронологія атаки

Огляд ончейн-даних: Тиск на TVL у топ-20 блокчейнах

За останніми даними DeFiLlama (станом на 21 квітня 2026 року), загальний TVL у DeFi після атаки впав до близько 82,4 мільярда доларів, що становить одноденне зниження приблизно на 5,6%. Це падіння входить до 2% найгостріших з 2024 року. За секторами найбільше постраждали лендингові ринки — їхній TVL знизився приблизно на 13%; сегмент ліквідного стейкінгу впав на 3,4%; децентралізовані біржі та деривативні протоколи втратили від 2% до 3%.

Ethereum, на який припадає 53,91% загального TVL у DeFi, за останні 30 днів втратив 17,91% TVL. Поточний TVL становить близько 46,17 мільярда доларів, що значно менше ніж понад 56 мільярдів до атаки. Серед топ-20 блокчейнів лише декілька показали незначне зростання, тоді як більшість зазнали місячного відкату, а відтік капіталу прискорився після інциденту.

По-перше, атака посилила вже існуючу тенденцію відтоку капіталу. Місячне падіння Ethereum сягнуло 17,91% на фоні загального зниження апетиту до ризику на ринку. По-друге, деякі блокчейни показали незначне тижневе відновлення (наприклад, Sei +7,85% за 7 днів; PulseChain -0,24% за 7 днів, але +13,77% за місяць), що свідчить про те, що капітал не повністю залишає екосистему, а перерозподіляється для управління ризиками. По-третє, найглибші місячні падіння спостерігались серед ланцюгів, тісно пов’язаних із екосистемою повторного стейкінгу Ethereum або кросчейн-містами, таких як Mantle (-52,01%), Ethereal (-18,55%) і Hyperliquid L1 (-17,73%), що відображає цільові шокові хвилі через зв’язки між протоколами.

Коренева причина: проігнорована конфігурація єдиного вузла

Основна вразливість цієї атаки полягала не у багу смарт-контракту, а у некоректних параметрах розгортання. Кросчейн-контракт rsETH від Kelp DAO використовував конфігурацію 1/1 DVN (децентралізована мережа верифікаторів), тобто один вузол-верифікатор міг схвалювати кросчейн-повідомлення. Натомість офіційна документація LayerZero рекомендує типову конфігурацію 2/2 з кількома верифікаторами.

Технічний шлях атакуючого: спершу він отримав список RPC-вузлів, які використовує DVN LayerZero, скомпрометував два незалежні RPC-кластери та замінив їхні op-geth бінарники. Далі вибірково підмінював відповіді — надсилав підроблені шкідливі пакети даних лише DVN, а іншим IP-адресам повертав справжні дані, щоб уникнути виявлення. Одночасно здійснював DDoS-атаки на нескомпрометовані RPC-вузли, змушуючи DVN переходити на отруєні вузли. Після валідації підробленого повідомлення шкідливі бінарники самознищувались для видалення журналів.

У післяінцидентному звіті LayerZero Labs попередньо приписав атаку групі TraderTraitor, яка входить до складу північнокорейської Lazarus Group і також була пов’язана з атакою на Drift Protocol раніше цього місяця. LayerZero підкреслив, що інцидент зачепив лише конфігурацію rsETH у Kelp DAO; інші додатки з багатоверсифікаторною надмірністю не постраждали, а сам протокол не мав вразливостей.

Суперечки щодо відповідальності

Після інциденту швидко виникли суперечки між Kelp DAO, LayerZero та Aave щодо відповідальності. LayerZero стверджував, що використання Kelp DAO конфігурації 1/1 DVN стало прямою причиною — «єдиною точкою відмови» з фундаментальним дефектом. Засновник Kelp DAO Чарлі визнав у X, що команда помилково використала конфігурацію 1/1 DVN, і пообіцяв повністю компенсувати всіх постраждалих користувачів, категорично відкинувши широко острахувану практику «соціалізованих втрат» (розподілення збитків між усіма учасниками).

Тим часом основний розробник Yearn Finance banteg поставив під сумнів трактування LayerZero інциденту як «RPC poisoning» ("отруєння RPC"), стверджуючи, що зловмисник порушив межу довіри LayerZero і що серйозність інциденту недооцінюється. Треті аналітики зазначили, що хоча Kelp DAO самостійно обрав конфігурацію 1/1 DVN, як розробник кросчейн-протоколу LayerZero також несе певну архітектурну відповідальність.

Варто зазначити, що колишня команда з управління ризиками Aave — BGD Labs — ще у січні минулого року вказувала на проблему конфігурації DVN у Kelp DAO. Однак, попри прийняття рекомендацій, Kelp не вніс суттєвих змін, а Aave не продовжував моніторинг ситуації. Ця історія підкреслює структурний розрив між наданням безпекових попереджень і їхньою реалізацією.

Вплив на індустрію: безнадійна заборгованість Aave і протокольне зараження

Найбільше постраждав Aave. Зловмисник використав вкрадений rsETH як забезпечення для позики ETH на Aave, у результаті чого утворилась безнадійна заборгованість на суму від 177 до 196 мільйонів доларів, яку не можна було стягнути через стандартні механізми ліквідації. Використання ETH на кількох ринках Aave V3 тимчасово досягло 100%, що спричинило хвилю виведення коштів.

Протягом 48 годин після атаки TVL Aave впав із близько 26,4 мільярда до 17 мільярдів доларів — рекордний короткостроковий відтік у 9,45 мільярда доларів, найбільший в історії протоколу. Вартість токена AAVE впала приблизно на 10–20% після інциденту.

Станом на 21 квітня 2026 року, за даними ринку Gate: AAVE торгується близько 105,73 долара, а ETH — близько 2 309 доларів. Усі ціни наведені за реальними даними платформи Gate, у доларах США.

Контрольний список зараження

Окрім Aave, низка великих протоколів вжила екстрених заходів. Ethena продовжила призупинення роботи свого мосту LayerZero OFT; Curve Finance призупинила LayerZero-інфраструктуру, що вплинуло на міст CRV з BNB, Sonic, Avalanche та інших ланцюгів; ether.fi та Tron DAO також заморозили свої мости LayerZero OFT; SparkLend і Fluid одночасно заморозили позиції з rsETH. Compound V3 отримав близько 39,4 мільйона доларів безнадійної заборгованості, а Euler — близько 840 тисяч доларів.

Цей ланцюговий ефект виявив структурну вразливість DeFi: обгорнуті активи типу LRT (наприклад, rsETH) по суті залежать від безпеки мостів. Коли великі лендингові протоколи приймають такі високоризикові активи як забезпечення, будь-яка базова експлуатація миттєво передається через зв’язки протоколів по всій екосистемі лендингу. «Лего-подібна» композитність DeFi асиметрично підсилює передачу ризиків.

Три шляхи врегулювання безнадійної заборгованості — і дилема

Засновник DeFiLlama 0xngmi окреслив три можливі сценарії розв’язання наслідків для Kelp DAO:

Шлях 1: соціалізовані втрати. Kelp DAO запроваджує рівномірне списання приблизно 18,5% для всіх власників rsETH. У цьому випадку всі позиції із забезпеченням rsETH на основній мережі Aave ліквідуються, що призведе до близько 216 мільйонів доларів безнадійної заборгованості. Протокол Umbrella може покрити близько 55 мільйонів, скарбниця Aave — ще 85 мільйонів, залишаючи дефіцит у 76 мільйонів, який Kelp DAO має покрити через позики або продаж токенів.

Шлях 2: відмова від користувачів L2. Kelp DAO захищає лише власників rsETH на основній мережі, розглядаючи rsETH на L2 як безвартісний. Aave L2 наразі має близько 359 мільйонів доларів у забезпеченні rsETH; якщо всі вони максимально залеверджені, це створить близько 341 мільйона доларів безнадійної заборгованості без покриття Umbrella. Aave, ймовірно, відмовиться від найбільш постраждалих ринків L2, таких як Arbitrum, Mantle і Base.

Шлях 3: відшкодування за знімком до атаки. Kelp DAO повністю компенсує лише тих, хто володів rsETH до атаки, на основі знімка, а покупці чи отримувачі після атаки несуть збитки. Однак через значний рух коштів після атаки і те, що DeFi-протоколи по суті є пулом ліквідності, практично неможливо відрізнити депонентів різних партій, що робить цей варіант технічно нездійсненним.

Кожен шлях має свої плюси і мінуси: шлях 1 є найбільш справедливим, але покладає значне фінансове навантаження як на скарбницю Aave, так і на Kelp DAO; шлях 2 мінімізує вплив на основну мережу Aave, але серйозно підриває довіру до екосистеми L2 і провокує подальше зараження; шлях 3 теоретично обмежує поширення, але майже неможливий у реалізації. Станом на 21 квітня 2026 року засновник Kelp DAO пообіцяв повну компенсацію користувачам, але деталі плану та джерела фінансування залишаються невідомими, а остаточне рішення ще не прийнято.

Висновок

Атака на міст Kelp DAO із одноразовими втратами у 292 мільйони доларів спричинила найсерйозніший системний відтік капіталу у DeFi у 2026 році. TVL у топ-20 блокчейнах значно знизився, Aave зазнав багатомільярдних вилучень, а низка великих протоколів запровадила екстрені заморозки — це свідчить про загальне скорочення ліквідності у галузі.

Більш фундаментально, основна проблема інциденту полягала не в окремому багу смарт-контракту, а у сукупності вразливостей: неправильній конфігурації кросчейн-інфраструктури, помилках у логіці повторного стейкінгу забезпечення та надмірній інтеграції протоколів. Ризики єдиного вузла верифікації, невідповідності LRT-активів і прогалин у безпекових аудитах щодо конфігураційних ризиків формують комплекс взаємопов’язаних структурних викликів.

З точки зору безпеки, галузі терміново потрібні стандарти повного аудиту, що охоплюють як код смарт-контрактів, так і параметри розгортання та архітектуру кросчейн-верифікації. Обов’язкові аудити мають включати налаштування порогів DVN і надмірність RPC-вузлів. Для користувачів участь у протоколах повторного стейкінгу має передбачати не лише оцінку прибутковості, а й перевірку безпеки мосту (кількість і пороги верифікаторів), прозорість резервів базових активів і досвід команди у реагуванні на минулі інциденти.

Довгострокове здоров’я DeFi залежить не лише від стійкого зростання ліквідності та прибутковості, а й від системного вдосконалення безпекової інфраструктури та механізмів ізоляції ризиків. Кожна велика безпекова подія виявляє структурні вади і є стрес-тестом для управління галуззю та реагування на кризи. Історія інциденту Kelp DAO ще триває. Ефективність подальших дій і інституційних реформ визначить, чи стане ця подія переломним моментом на шляху DeFi до зрілості, чи залишиться черговою забутою безпековою кризою.