Последствия взлома KelpDAO: как Aave удалось локализовать 80 % из 200 миллионов долларов проблемной задолженно?

18 апреля 2026 года в 17:35 по UTC злоумышленник воспользовался уязвимостью кросс-чейн-моста rsETH на базе LayerZero, принадлежащего KelpDAO, и похитил 116 500 rsETH — это примерно $292 млн — всего за 46 минут. Ключевой момент атаки заключался в том, что хакер не стал сразу продавать полученные токены на вторичных рынках: ликвидность rsETH была слишком низкой для масштабной распродажи. Вместо этого он внес украденные токены в качестве залога в ведущие лендинговые протоколы, такие как Aave V3, Compound V3 и Euler, и взял в долг примерно $236 млн в настоящих WETH/ETH.

Причиной атаки стала не классическая ошибка смарт-контракта, а неправильная настройка параметров при деплойменте. В реализации кросс-чейн-моста KelpDAO на LayerZero V2 использовалась схема 1/1 DVN (Decentralized Verification Network) — это означало, что сообщения между сетями мог подтверждать только один валидатор. После компрометации этого узла злоумышленник получил возможность создавать любые кросс-чейн сообщения, фактически «эмитируя токены из воздуха». Более того, согласно данным Dune Analytics, на тот момент 47% OApps LayerZero использовали аналогичную конфигурацию 1/1 DVN, что ставило под угрозу активы на сумму свыше $4,5 млрд. Таким образом, инцидент с KelpDAO выявил не только проблему отдельного проекта, но и системную уязвимость всей инфраструктуры кросс-чейн-протоколов.

Как цепная реакция от залогового кредитования привела к образованию плохих долгов

После внесения фальшивых rsETH в несколько лендинговых протоколов наибольший риск оказался у Aave V3. По данным блокчейна, примерно 89 567 rsETH (около $221 млн) были использованы как залог в Aave, что позволило взять в долг около 82 650 WETH (примерно $191 млн). Поскольку эти rsETH были эмитированы «из воздуха», залог перестал иметь реальную ликвидационную основу.

Однако стоит уточнить: код Aave не был взломан. Логика кредитования работала штатно — проблема возникла из-за обесценивания залога. После взлома кросс-чейн-моста реальная обеспеченность rsETH исчезла. Aave оперативно заморозил все рынки, связанные с rsETH, установил коэффициент LTV на нулевом уровне и внес экстренные изменения в модель процентных ставок. Но к этому моменту плохой долг уже возник. По отчету сервис-провайдера Aave и риск-менеджмент-компании LlamaRisk, в зависимости от сценария распределения убытков, Aave столкнулся с плохим долгом в диапазоне от $124 млн до $230 млн. Наиболее часто упоминаемая сумма — $200 млн — отражает чистый убыток по итогам инцидента.

Почему уязвимости единого валидатора — структурная слепая зона для безопасности отрасли

Главное отличие инцидента KelpDAO от других взломов DeFi — отсутствие ошибки в исходном коде. Проблема возникла не в .sol-файлах, а в параметре деплоймента — пороге DVN, заданном при запуске протокола. Такой параметр не попадает в область анализа инструментов статической проверки, например Slither или Mythril, которые хорошо выявляют известные паттерны вроде атак с повторным вызовом, но практически не охватывают риски на уровне конфигурации. Когда аудит смарт-контрактов фокусируется исключительно на корректности кода, параметры деплоймента, такие как DVN, становятся «красной зоной» в матрице безопасности.

В LayerZero V2 вопросы безопасности передаются на уровень приложения. Теоретически это дает гибкость, но на практике проекты часто выбирают экстремальный режим 1/1 ради удобства. Когда защитные механизмы можно «отключить настройками», границы аудита смещаются наружу. Случай с KelpDAO подчеркивает ключевой конфликт: кросс-чейн-протоколы поддерживают многовалидаторные схемы, но проекты ради удобства отказываются от избыточных защит. В отрасли до сих пор нет стандартизированного процесса проверки конфигурации безопасности, чтобы закрыть этот разрыв.

Как паника на рынке и отток ликвидности усилили кризис

После появления информации об атаке паника быстро переросла в реальный отток капитала. По состоянию на 27 апреля 2026 года, согласно данным Gate, связанные с инцидентом токены демонстрировали сильную волатильность, а весь сектор DeFi оказался под давлением. За 48 часов после события из Aave было выведено около $8,45 млрд, а TVL снизился с примерно $26,4 млрд до $17,9 млрд. В целом по DeFi TVL упал за тот же период на $13,21 млрд — с $99,5 млрд до $86,3 млрд.

Важно понимать, что снижение TVL не означает прямую потерю активов. Аналитика показывает: значительная часть оттока связана с каскадными ликвидациями высоко-левереджированных позиций и осторожными выводами институциональных инвесторов, а не с «уничтожением» всех средств. Тем не менее, шок выявил глубинную проблему: когда основной пул ведущего лендингового протокола истощается, а коэффициент использования капитала приближается к 100%, обычные пользователи не могут вывести свои средства. В этот раз Aave не был источником риска, но из-за высокой доли rsETH в залоге оказался в центре кризиса.

Трассировка пути отмывания средств злоумышленника и технические детали заморозки Arb

После эксплуатации уязвимости KelpDAO злоумышленник быстро попытался скрыть похищенные средства через несколько этапов. Первоначальные средства поступили из Tornado Cash: примерно за 10 часов до инцидента хакер получил 1 ETH из миксера. После кражи он переместил средства между различными лендинговыми протоколами, а затем отправил их через кросс-чейн-каналы.

20 апреля Совет безопасности Arbitrum воспользовался экстренными полномочиями, идентифицировал около 30 765 ETH (на тот момент примерно $71,5 млн), принадлежащих злоумышленнику, и выполнил техническую операцию по переводу и заморозке средств на защищенном адресе. Это стало важным событием для ончейн-трассировки активов: Layer 2-сети показали, что их советы безопасности могут, при определенных условиях, вмешиваться в движение средств. Хакер отреагировал быстро — в течение нескольких часов после заморозки около 75 700 ETH (примерно $175 млн) были распределены по двум новым кошелькам. Дополнительный анализ блокчейна показал, что примерно $1,5 млн украденных средств были переведены с Ethereum на Bitcoin через Thorchain, а часть была скрыта с помощью инструментов приватности, например Umbra. Это свидетельствует о намерении злоумышленника полностью вывести украденные средства из экосистемы Ethereum.

Восстановление сообщества и как решается вопрос с плохим долгом Aave на $200 млн

Столкнувшись с дефицитом примерно $200 млн, основатель Aave инициировал создание отраслевого фонда восстановления DeFi United. По данным Arkham на 26 апреля, фонд собрал более $160 млн, что покрывает около 80% дефицита. Крупнейшими донорами стали сообщества Mantle и Aave, совместно пожертвовавшие 55 000 ETH — примерно $127 млн на тот момент.

Основатель Aave Стани Кулечов лично пожертвовал 5 000 ETH. Институции, такие как Golem Foundation, Ether.fi и Lido DAO, также заявили о поддержке. Важнее всего, Aave Labs вместе с Kelp DAO, LayerZero, Ether.fi, Compound и другими крупными протоколами внесли конституционное предложение в Arbitrum DAO о разморозке 30 765 ETH (около $71,5 млн) и переводе их в фонд восстановления DeFi United. Если все взносы будут подтверждены, размер фонда превысит $236 млн — этого достаточно для полного покрытия текущего плохого долга.

Стоит отметить, что процесс управления займет около 49 дней, а несколько крупных взносов еще требуют одобрения через голосование DAO — итог пока не определен.

Парадокс безопасности кросс-чейн и управления децентрализированными финансами

Инцидент KelpDAO стал поводом для глубокого переосмысления: безопасность кросс-чейн-мостов остается структурной проблемой, которую сложно полностью решить. До атаки 47% децентрализированных приложений, интегрированных с LayerZero, использовали конфигурацию 1/1 DVN. Это не было уникальным выбором KelpDAO, а отражало системную тенденцию к приоритету удобства над избыточной безопасностью. В кросс-чейн-сценариях доверие основано не только на коде смарт-контрактов, но и на параметрах деплоймента и операционной безопасности валидаторных сетей — аспектах, которые часто выходят за рамки стандартного аудита.

При этом заморозка активов Советом безопасности Arbitrum высветила давний парадокс: если «децентрализованная» Layer 2-сеть обладает технической возможностью вмешиваться — фактически «бэкдором» на уровне кода — чем она отличается от централизованного кастодиана? Если активы пользователей могут быть заблокированы ончейн советом безопасности, то концепция «без доверия» в DeFi подвергается фундаментальному сомнению.

Этот инцидент уже не просто кризис безопасности одного проекта, а коллективный стресс-тест институциональных основ DeFi.

Заключение

Взлом KelpDAO стал крупнейшим инцидентом безопасности DeFi в 2026 году, с убытками около $292 млн. Однако его последствия гораздо масштабнее: из Aave за 48 часов было выведено $8,45 млрд, а TVL всего DeFi снизился более чем на $13 млрд. Причина — не ошибка смарт-контракта, а неправильная настройка единого валидатора в кросс-чейн-мосте — уязвимость, которая до сих пор присутствует во многих протоколах отрасли.

Благодаря созданию фонда DeFi United Aave уже собрал более $160 млн, покрыв около 80% плохого долга, и вместе с пятью крупными протоколами внес конституционное предложение в Arbitrum DAO о разморозке заблокированных активов. По состоянию на 27 апреля 2026 года DeFi United ожидает результатов нескольких голосований по управлению. Независимо от того, как будет решен вопрос с $200 млн плохого долга, инцидент KelpDAO стал переломным моментом для DeFi, обозначив переход от принципа «код — закон» к концепции «управление — защита».

Часто задаваемые вопросы (FAQ)

Вопрос: В чем заключалась основная уязвимость атаки на KelpDAO?

Ключевой проблемой была не ошибка смарт-контракта, а конфигурация DVN в кросс-чейн-решении LayerZero. KelpDAO использовал схему с одним валидатором, и после компрометации этого узла злоумышленник смог создавать кросс-чейн сообщения и эмитировать rsETH «из воздуха». Это был системный сбой безопасности, вызванный нарушением модели доверия между сетями и ошибкой конфигурации.

Вопрос: Каковы реальные потери Aave в результате инцидента?

Aave не подвергался прямой атаке, но из-за использования rsETH в качестве залога злоумышленник взял крупные кредиты в WETH. В зависимости от сценария распределения убытков, плохой долг Aave оценивается от $124 млн до $230 млн, наиболее часто упоминается сумма около $200 млн. По состоянию на 27 апреля фонд DeFi United собрал более $160 млн, покрыв около 80% дефицита.

Вопрос: Можно ли вернуть украденные средства?

Часть средств была заморожена. Совет безопасности Arbitrum успешно заблокировал около 30 765 ETH (примерно $71,5 млн), принадлежащих злоумышленнику, но тот уже перевел около 75 700 ETH на новые кошельки и отправил средства в сеть Bitcoin через Thorchain и другие инструменты, что затрудняет возврат.

Вопрос: Безопасны ли другие протоколы, использующие LayerZero?

Не обязательно. По данным Dune Analytics, до атаки на KelpDAO 47% OApps LayerZero использовали аналогичную конфигурацию 1/1 DVN, что затрагивало активы на сумму более $4,5 млрд. Каждый протокол должен самостоятельно пересмотреть свою конфигурацию DVN, а отрасль стремится перейти от схемы с одним валидатором к многовалидаторным решениям.