У квітні 2026 року криптоіндустрія зіткнулася з найсерйознішим викликом безпеки за останні роки. Kelp DAO зазнав експлойту на $293 мільйони через вразливість кросчейн-моста, що стало найбільшим окремим інцидентом безпеки місяця. Станом на 22 квітня загальна сума викрадених коштів за квітень перевищила $500 мільйонів. Це не лише встановило новий місячний рекорд втрат, а й виявило системні ризики у дизайні взаємодії кросчейн-протоколів DeFi. На відміну від попередніх поодиноких випадків, ця атака продемонструвала високу взаємозв’язаність — після компрометації одного протоколу ризик швидко поширився на кілька основних ринків кредитування та пулів ліквідності.
Чому вразливості єдиного валідатора є фатальними для кросчейн-мостів
Основна технічна причина атаки полягає у механізмі валідації кросчейн-моста. Міст, який використовував Kelp DAO, працював на архітектурі з одним валідатором, тобто для підтвердження кросчейн-повідомлень була потрібна лише підпис одного вузла. Зловмисники отримали доступ до приватного ключа цього валідатора, підробили запити на кросчейн-виведення і масово перевели заблоковані активи на зовнішні адреси. Аналіз блокчейна показує, що атакувальник обійшов як мультипідпис, так і обмеження тайм-локом в одній транзакції. Це не новий вектор атаки — ризик єдиного валідатора привернув увагу індустрії ще під час інциденту з Ronin Bridge у 2022 році. Проте кейс Kelp DAO свідчить, що деякі протоколи досі не впровадили децентралізацію валідаторів як базовий стандарт безпеки.
Як експлойт Kelp DAO вплинув на ринки кредитування, такі як Aave
Резерви Kelp DAO містили значні обсяги stETH та wstETH, які також використовуються як застава у кредитних протоколах, зокрема у Aave. Після атаки викрадені кошти швидко обміняли на ETH, що спричинило різке відхилення курсу stETH/ETH. Користувачі з відповідними заставними позиціями опинилися під ризиком ліквідації, а використання пулу stETH на Aave перевищило 85% протягом кількох годин. Хоча механізми ліквідації Aave поглинули частину проблемної заборгованості, паніка на ринку змусила кількох великих власників розпродати позиції, ще більше зменшивши ліквідність. За даними ринку Gate, станом на 22 квітня 2026 року ціна stETH становила $3 012,50, а спред до спотового ETH розширився приблизно на 0,7 відсоткового пункту порівняно з рівнем до інциденту.
Чи існує скоординований патерн атак за квітневими втратами понад $500 мільйонів?
Розміщення інциденту Kelp DAO у контексті квітневих подій безпеки виявляє серію атак зі схожими характеристиками. Окрім Kelp DAO, цього місяця було атаковано ще три середні DeFi-протоколи, які зазнали втрат приблизно $85 мільйонів, $62 мільйони та $41 мільйон відповідно. Спільними рисами є: всі інциденти пов’язані з кросчейн-мостами або протоколами обміну повідомленнями, зловмисники використали вразливості у привілеях валідаторів, а викрадені кошти зрештою потрапили до одного й того ж кластеру адрес міксер-сервісів. Аналітичні компанії з відстеження блокчейна зазначили, що шляхи відмивання у кількох інцидентах були дуже схожими, що може свідчити про координацію однією групою атакувальників. Така концентрація атак створює для індустрії безпрецедентний виклик.
Чому так складно повністю заблокувати маршрути відмивання коштів північнокорейських хакерів?
Спільний звіт ФБР та аналітичних компаній блокчейна показав, що близько 70% коштів, викрадених у квітневих атаках на DeFi, потрапили на адреси, пов’язані з Lazarus Group, яку вважають державною кіберзлочинною організацією КНДР. У випадку Kelp DAO після отримання $293 мільйонів зловмисники розподілили кошти на понад 50 нових адрес, перевели їх у мережу Bitcoin через міст, а потім використали міксер-сервіси для багаторівневої обфускації. Цей маршрут використав відмінності у регуляторних та аналітичних можливостях різних блокчейнів, що зробило традиційні механізми заморожування неефективними. Хоча багато бірж вже обмінюються даними чорних списків, перехід зловмисників до децентралізованих кросчейн-агрегаторів суттєво знизив частку перехоплених коштів.
Чи варто впроваджувати обов’язкові механізми ізоляції у аудитах безпеки кросчейн-мостів?
Наразі аудити мостів в індустрії переважно зосереджені на коректності коду і рідко враховують ізоляцію ризиків на рівні економічної моделі. Інцидент Kelp DAO виявив критичну проблему: навіть якщо смартконтракт моста не містить багів, одна точка відмови у привілеях валідатора може призвести до повної втрати заблокованих активів. Деякі команди безпеки зараз рекомендують впроваджувати обов’язкові механізми ізоляції, наприклад, встановлювати незалежні ліміти ризику для кожної кросчейн-операції та застосовувати мультивалідаторні схеми порогових підписів. Інший підхід — розподіляти заблоковані активи між кількома незалежними страховими пулами, щоб компрометація одного пулу не загрожувала всій системі. Хоча такі рішення можуть збільшити витрати на газ, вони є необхідними для зниження системних ризиків.
Як DeFi-протоколи можуть досягти кросчейн-сумісності без залежності від сторонніх мостів?
Одним із довгострокових наслідків інциденту Kelp DAO стало оновлення уваги індустрії до довіри до сторонніх кросчейн-мостів. Все більше протоколів досліджують нативні кросчейн-рішення, наприклад, децентралізовані мережі валідації на кшталт LayerZero або розгортання безпосередньо у єдиному мульти-чейн середовищі виконання. Інший шлях — відмова від обгортання активів у кросчейні на користь прямих обмінів на основі атомарних свопів або децентралізованих оракулів. Хоча такі підходи можуть зменшити ліквідність і зручність для користувачів, вони усувають міст як єдину точку відмови. У перспективі 2026 рік може стати переломним моментом для DeFi — від "bridge dependency" (залежності від мостів) до "native multi-chain" (нативної мульти-чейн) архітектури.
Від $293 мільйонів до $500 мільйонів: де критична точка для інвестицій у безпеку?
Сукупні втрати квітня понад $500 мільйонів вже перевищили загальний бюджет безпеки, витрачений протоколами DeFi за той самий період. Це означає, що навіть при повних аудитах безпеки поточного рівня інвестицій недостатньо для покриття потенційних втрат. З економічної точки зору, коли очікуваний прибуток від атак значно перевищує витрати на захист, ринок сам по собі не може стримати хакерів. Індустрії потрібні не лише кращі аудити коду, а й системи моніторингу та сповіщення на блокчейні, аварійні фонди реагування, а також децентралізовані страхові ринки. Після інциденту з Kelp DAO кілька провідних протоколів оголосили про намір збільшити витрати на безпеку з 5% до понад 15% річного бюджету. Чи допоможе це ефективно зменшити майбутні втрати, залежить від готовності індустрії інвестувати системно, а не лише у функціональні шари.
Висновок
Експлойт Kelp DAO на $293 мільйони та сукупні квітневі втрати понад $500 мільйонів разом стали визначальним моментом для безпеки DeFi у 2026 році. Технічною причиною став недолік єдиного валідатора у кросчейн-мості, а ланцюгові наслідки поширилися через ринки кредитування, такі як Aave, на ширшу екосистему ліквідності. Маршрути відмивання, пов’язані з північнокорейськими хакерами, додатково виявили проблеми кросчейн-відстеження. Індустрія має одночасно підвищувати стандарти аудиту, архітектуру мостів, системи моніторингу та бюджети безпеки, щоб стримати зростання частоти й масштабу атак.
FAQ
Q: Чи призвів експлойт Kelp DAO до остаточних втрат активів користувачів?
A: Команда Kelp DAO звернулася до компаній з безпеки для відстеження викрадених коштів і планує компенсувати постраждалим користувачам. Станом на 22 квітня більшість викрадених коштів не було повернуто, а втрати покриваються спільно з казначейства протоколу та страхового фонду.
Q: Чи виник у Aave реальний "bad debt" (проблемний борг) внаслідок цього інциденту?
A: Механізми ліквідації Aave успішно впоралися з більшістю ризикових позицій, і протокол не став неплатоспроможним. Однак короткострокова волатильність через відхилення stETH дозволила деяким ліквідаторам отримати підвищені винагороди, хоча загальна робота протоколу залишалася стабільною.
Q: Як звичайні користувачі можуть зменшити ризики, пов’язані з кросчейн-мостами?
A: Користувачам рекомендується мінімізувати час зберігання цінних активів на одному кросчейн-мості, обирати мости, які пройшли кілька аудитів і мають достатню кількість валідаторів, або використовувати нативні мульти-чейн протоколи чи централізовані біржі для кросчейн-переказів, щоб знизити ризики смартконтрактів і валідаторів.
Q: Чому північнокорейські хакери так часто атакують DeFi-протоколи?
A: Дані блокчейн-відстеження показують, що з 2022 року Lazarus Group викрала понад $2 мільярди у криптоактивах. Вважається, що ці кошти використовуються для фінансування розробки озброєння КНДР та обходу міжнародних санкцій. Анонімність і кросчейн-композабельність DeFi роблять його ідеальним каналом для відмивання таких активів.
