18 мая 2026 года Aave восстановил лимиты кредитования WETH на шести сетях. Кризис позади, и почти. Согласно данным Aave Governance Forum, за тридцать дней после крупнейшего DeFi-взлома 2026 года удалось вернуть 95% необеспеченных rsETH. Тем не менее 30 765 ETH, что составляет около 71 миллиона долларов по данным CoinDesk, по-прежнему заморожены на Arbitrum: три стороны не могут договориться о том, кому они принадлежат. Федеральный суд Манхэттена должен дать ответ. Пока этого не случилось, DeFi сделал нечто необычное: доказал, что способен координированно устранять собственные потери без участия государства.
Security Incident Report
Протокол
Kelp DAO (rsETH Bridge)
Похищено
$292M (116 500 rsETH)
Сети
Ethereum + 20 L2 (Arbitrum, Base, Linea, Unichain, Mantle, Scroll)
Дата
18 апреля 2026 г., 17:35 UTC
Вектор атаки
Компрометация RPC-узлов, обслуживающих DVN (Decentralized Verifier Network) компании LayerZero Labs, в сочетании с DDoS-атакой на не скомпрометированные узлы. Заражённые узлы внедрили поддельное кросс-чейн сообщение из Unichain, убедив контракт Ethereum выпустить 116 500 rsETH без какого-либо обеспечения. Конфигурация DVN 1-из-1: единственная точка отказа.
Реакция протокола
Kelp приостановил основные контракты в 18:21 UTC (через 46 минут после дрейна), заблокировав два последующих попытки на $100M. Aave, SparkLend и Fluid заморозили рынки rsETH. 21 апреля Security Council Arbitrum заморозил 30 765 ETH. 23 апреля Aave запустил DeFi United совместно с Lido, EtherFi и Стани Кулечовым.
Источник: Chainalysis, Hypernative, CoinDesk · 18 апреля 2026
Злоумышленники скомпрометировали RPC-узлы, питающие DVN (Decentralized Verifier Network) LayerZero Labs, и одновременно провели DDoS-атаку на нескомпрометированные узлы. Заражённые узлы внедрили поддельное кросс-чейн сообщение из Unichain, убедив контракт Ethereum выпустить 116 500 rsETH без обеспечения. Конфигурация DVN 1-из-1 оказалась единственной точкой отказа.
Kelp приостановил основные контракты в 18:21 UTC, то есть через 46 минут после начала дрейна, заблокировав два последующих вывода на $100M каждый. Aave, SparkLend и Fluid заморозили рынки rsETH. 21 апреля Security Council Arbitrum заморозил 30 765 ETH. 23 апреля Aave совместно с Lido, EtherFi и основателем протокола Стани Кулечовым запустил инициативу DeFi United.
Статус восстановления на 18 мая 2026
- Создано необеспеченных rsETH 112 103
- Всего возвращено rsETH 106 993 (95,4%)
- через ликвидации Aave 89 567 rsETH
- через Compound 17 426 rsETH
- остаток дефицита (DeFi United) ~5 200 rsETH
- собрано фондом DeFi United $327,95M
Источник: Aave Governance Forum · CoinDesk · 18 мая 2026
Источник: Aave Governance Forum · CoinDesk · 18 мая 2026
Как DeFi United восстановил то, что Lazarus разрушил
23 апреля 2026 года, через пять дней после эксплойта, Стани Кулечов, основатель Aave, объявил о личном взносе в размере 5 000 ETH. Следом Lido Finance внёс 2 500 stETH (около $5,7 млн по тогдашнему курсу), EtherFi заявил о плане на 5 000 ETH. Инициатива получила название DeFi United: координированный восстановительный фонд, созданный за несколько недель без какого-либо государственного мандата. Цель состояла в том, чтобы покрыть дефицит rsETH и предотвратить каскадные принудительные ликвидации по всей экосистеме. В итоге фонд собрал $327,95 млн по данным Aave Governance Forum, то есть в четыре раза больше необходимого. Коалиция сплотилась вокруг проблемы ещё до того, как регуляторы успели отреагировать.
On April 18 at 17:35 UTC, an attacker drained 116,500 rsETH (~$292M, ~18% of circulating supply) from Kelp DAO's LayerZero-powered bridge.
, CredShields (@CredShields) April 19, 2026
$292M drained, 2026's largest DeFi hack so far.
Here's how it unfolded and what it means. 👇 https://t.co/D7i53vaj6p
18 мая Aave восстановил коэффициенты loan-to-value для WETH в шести деплойментах V3, а именно на Ethereum Core, Ethereum Prime, Arbitrum, Base, Mantle и Linea, вернув их к значениям до эксплойта. Официальное сообщение в сети X появилось в 7:05 UTC. Для практикующих DeFi-пользователей это означает следующее: крупнейший рынок кредитования экосистемы снова работает в полном объёме. Возможность брать займы под залог ETH на шести сетях восстановлена, ликвидность возвращается, стратегии с кредитным плечом, заблокированные на месяц, снова доступны.
Что произошло с эксплойтом Kelp DAO и кто понесёт убытки?
Фактически, группа Lazarus из Северной Кореи, согласно реконструкции событий LayerZero и Chainalysis, провела операцию в три этапа. Сначала были скомпрометированы два RPC-узла, обслуживавших верификатор моста. Затем организована DDoS-атака на нескомпрометированные узлы, чтобы вывести их из строя и оставить единственным источником данных уже контролируемые. Наконец, был внедрён поддельный кросс-чейн запрос из Unichain, предписывающий контракту Ethereum выпустить 116 500 rsETH, как если бы легитимная операция состоялась на Unichain. На стороне Unichain в обращении находилось около 49 rsETH. Сообщение гласило: 116 500. При этом Контракт исполнил команду.
Конфигурация DVN 1-из-1 стала уязвимым звеном: один верификатор, никакой избыточности. Kelp настаивает на том, что это была конфигурация LayerZero по умолчанию на момент деплоя; LayerZero утверждает, что рекомендовал использовать несколько верификаторов. По оценкам, опубликованным в момент атаки, 40% активных протоколов на LayerZero до сих пор используют аналогичную настройку.
$71 млн замороженных средств и спор с жертвами теракта
21 апреля Security Council Arbitrum заморозил 30 765 ETH, что составляло около $71 млн на момент действия, по данным CoinDesk, восстановленных в ходе мониторинга on-chain движений, связанных с атакующим. Намерение состояло в том, чтобы вернуть средства пострадавшим пользователям. Однако 5 мая адвокаты, представляющие американских жертв северокорейского терроризма, подали иск в федеральный суд Южного округа Нью-Йорка. Их позиция: эти средства являются «государственной собственностью Северной Кореи» по смыслу Terrorism Risk Insurance Act (TRIA) и могут быть арестованы для погашения уже вынесенных судебных решений против Пхеньяна.
Aave подал в суд ответный меморандум: средства принадлежат пользователям протокола, а не Северной Корее. Удержание их в замороженном состоянии повлечёт «каскадные ликвидации и невосполнимый ущерб» для людей, не имеющих никакого отношения к группе Lazarus. Оппонент, однако, повысил ставки во втором депозите от 6 мая: позиция Aave ослабляется его собственными условиями использования, прямо закрепляющими, что платформа не имеет «владения, хранения или контроля» над активами пользователей. Если Aave их не контролирует, как может претендовать на них в суде?
DeFi United тем временем собрал $327 млн по данным Aave Governance Forum, то есть в четыре раза больше спорной суммы. С точки зрения цифр $71 млн для восстановления не нужны. С правовой точки зрения прецедент, который они способны создать, имеет колоссальное значение для всей отрасли.
По данным, опубликованным в момент атаки, 40% протоколов на LayerZero по-прежнему настроены с единственным верификатором. Отраслевая группа безопасности SEAL-911 указала, что вторая попытка, заблокированная Kelp в 18:26 UTC 18 апреля, могла бы вывести ещё около $200 млн. Система продержалась 46 минут до активации паузы. Вопрос, который отрасль всё ещё не решила, звучит так: сколько контрактов в продакшне сегодня приняли бы поддельную подпись наподобие той, что была использована 18 апреля, просто потому что никто так и не обновил конфигурацию?
