18 апреля 2026 года в 03:41 UTC злоумышленники вывели 116 500 rsETH на сумму 292 миллиона долларов из Kelp DAO, воспользовавшись уязвимостью в кросс-чейн бридже на базе LayerZero. Никаких предупреждений, никаких объявлений. Транзакция выглядела как обычная операция, пока не стало очевидным обратное. За 48 часов Aave потерял 8,45 миллиарда долларов в общих депозитах, а из всей экосистемы DeFi утекло более 13 миллиардов. Это крупнейший взлом DeFi 2026 года.
Отчёт об инциденте безопасности
Протокол
Kelp DAO (rsETH Bridge)
Сумма похищенного
292 миллиона долларов (116 500 rsETH)
Сети
Ethereum mainnet + 20+ L2 (Base, Arbitrum, Linea, Blast, Mantle, Scroll)
Дата
18 апреля 2026 · 03:41 UTC
Вектор атаки
Уязвимость в кросс-чейн бридже на базе LayerZero, управлявшем резервом rsETH в более чем 20 блокчейнах. Злоумышленник воспользовался брешью, чтобы перевести 116 500 rsETH из резерва бриджа. Затем он внёс 89 567 rsETH на Aave в качестве залога и занял 190,86 миллиона долларов в wrapped Ether, пока оракул Aave всё ещё оценивал rsETH по цене до взлома.
Ответные меры протокола
Kelp DAO приостановил контракты rsETH в основной сети и во всех L2 после обнаружения подозрительной активности. Aave заморозил рынки rsETH, заблокировав новые депозиты и займы под этот залог. Официальное заявление Kelp DAO опубликовано в X в 06:00 UTC 18 апреля 2026 года.
Источники: PeckShield · CertiK · CoinDesk · Cybernews · Bank Policy Institute · 18, 20 апреля 2026
Источники: PeckShield · CertiK · CoinDesk · Cybernews · Bank Policy Institute · 18, 20 апреля 2026
Как манипуляция с оракулом Aave многократно увеличила ущерб
Прямые потери от уязвимости бриджа LayerZero составили 292 миллиона долларов. То, что добавил сбой оракула Aave, превратило обычную кражу в системное событие. Злоумышленник внёс 89 567 rsETH на Aave в качестве залога сразу после взлома. Ценовой оракул Aave не проверяет происхождение депонируемых активов: он контролирует только их рыночную стоимость в момент внесения.
В 03:41 UTC rsETH всё ещё торговался по цене до взлома. Злоумышленник занял 190,86 миллиона долларов в wrapped Ether под залог, который рынок вот-вот должен был переоценить практически в ноль. К тому моменту, когда Aave заморозил рынки rsETH, 190 миллионов долларов в реальном Ether уже покинули протокол. Именно здесь пролегает граница между уязвимостью бриджа и каскадным сбоем на уровне протокола.
Согласно данным CoinDesk, за последующие 48 часов Aave потерял 8,45 миллиарда долларов в общих депозитах, снизившись с 26,35 миллиарда до 17,9 миллиарда долларов. Более 13 миллиардов долларов покинули всю экосистему DeFi. Стани Кулечов, основатель Aave, написал в X, что собственные контракты Aave не были взломаны: проблема заключалась в активе, принятом в качестве залога. Технически важное разграничение, хотя отток средств оно не остановило.
Kelp DAO стал не первым протоколом liquid staking, который пал жертвой схожего вектора атаки. По данным анализа Elliptic, в марте 2026 года Drift Protocol подвергся атаке на 286 миллионов долларов в сети Solana. К инциденту предположительно причастны группы, связанные с Северной Кореей. Два отдельных события, два разных вектора, разница в одну неделю. По данным CoinDesk, к 20 апреля 2026 года совокупные потери DeFi в 2026 году уже превысили 775 миллионов долларов.
Что меняется для институциональной DeFi
По данным CoinDesk, Apollo Global Management и BlackRock не скорректировали планы расширения в сфере onchain-финансов после взлома. Позиция институциональных игроков прагматична: проблема не в самой DeFi, а в нынешнем уровне её защиты.
«Каждый уровень стека DeFi должен сделать безопасность абсолютным приоритетом», заявил аналитик изданию CoinDesk 2 мая 2026 года. «Тем более в эпоху искусственного интеллекта, который делает некоторые векторы атак значительно быстрее в исполнении.»
PeckShield отследил перемещение похищенных средств на адреса, связанные с Tornado Cash, в течение нескольких часов после атаки. Согласно on-chain анализу PeckShield, к 08:00 UTC 18 апреля 180 миллионов долларов уже проходили через миксер. Перспективы возврата средств близки к нулю.
В ближайшие недели стоит следить за тремя процессами: отраслевой дискуссией об обязательной мультиисточниковой валидации ценовых оракулов в ключевых протоколах; предложением Kelp DAO о создании компенсационного фонда для пострадавших пользователей; а также официальной позицией ЕЦБ, который 2 мая прямо сослался на этот взлом как на дополнительный аргумент в пользу пруденциального надзора за активами DeFi в рамках пересмотра MiCA 2026. Кристин Лагард говорила о системной стабильности. На этот раз за её словами стоят реальные цифры.
