18 апреля 2026 года в 17:35 UTC злоумышленник воспользовался уязвимостью в мосте rsETH проекта Kelp DAO, построенном на кроссчейн-инфраструктуре LayerZero. Подделав входящие пакеты данных, атакующий вывел 116 500 rsETH — на тот момент их стоимость составляла примерно 292 миллиона долларов. Расследования Chainalysis и ZachXBT указывают на причастность северокорейской группировки Lazarus. Злоумышленники обошли проверки безопасности сети с единственным валидатором, совместив DDoS-атаки на внешние узлы с манипуляцией внутренними RPC-нодами.
Это была не типичная атака на смарт-контракт: не использовалась повторная запись (reentrancy), не было отсутствующих разрешений или манипуляций с оракулом цен. Ключевым фактором стало то, что Kelp DAO использовал единственную точку отказа — схему 1-из-1 DVN, полностью завися от узла-валидатора, управляемого LayerZero Labs. После успешной подделки RPC-данных этого узла контракт моста на стороне Ethereum выпустил настоящие rsETH по поддельному кроссчейн-сообщению — вторичного валидатора для проверки транзакции не было.
Вместо того чтобы сразу продать похищенные rsETH на рынке, злоумышленник внес около 90 000 rsETH в качестве залога в Aave V3 и занял примерно 190 миллионов долларов в ETH и других активах. В результате на балансе Aave образовалась огромная просроченная задолженность. TVL Aave снизился с 26,4 миллиарда до 17,9 миллиарда долларов, а из DeFi-экосистемы за короткое время было выведено более 13 миллиардов долларов.
По данным Gate на 29 апреля 2026 года, ETH торговался около 2 300 долларов. После атаки цена rsETH кратковременно опустилась до 1 723 долларов, что создало спред в 500 долларов между rsETH и ETH — явный признак паники на рынке из-за необеспеченных rsETH.
Еще более тревожно, что этот инцидент не был единичным. Только в первом квартале 2026 года DeFi-протоколы потеряли около 168,6 миллиона долларов в результате взломов. За первые 20 дней апреля убытки достигли 606,2 миллиона долларов — это максимальный месячный показатель с февраля 2025 года.
Почему единственный валидатор — критическая уязвимость инфраструктуры DeFi?
Атака на Kelp DAO выявила давно недооцененную структурную проблему: дисбаланс в настройках кроссчейн-безопасности. В архитектуре LayerZero каждое кроссчейн-сообщение должно подтверждаться одной или несколькими децентрализованными сетями валидаторов перед поступлением в целевую сеть. Однако мост rsETH Kelp DAO опирался на единственный валидатор — DVN LayerZero Labs, что по сути создало единственную точку отказа.
Такая схема встречается не только здесь. Чем проще логика кроссчейн-моста, тем меньше обычно используется валидаторов — ради ускорения подтверждения сообщений и снижения затрат на газ жертвуют безопасностью. Но если функцию «свидетеля» выполняет только один валидатор, злоумышленнику достаточно скомпрометировать лишь это звено — будь то RPC-нода, сервер валидатора или учетные данные оператора — чтобы обойти всю процедуру кроссчейн-подтверждения.
Еще опаснее то, что методы атакующего практически не были заметны для традиционного ончейн-мониторинга. Все ончейн-транзакции выглядели полностью легитимными на уровне байткода: сообщения передавались, подписи проверялись, а контракт в целевой сети корректно исполнял запрос. Основная манипуляция происходила вне блокчейна — на уровне валидации, где решается, «следует ли одобрить это кроссчейн-сообщение».
Такой тип атаки указывает на серьезный сдвиг в границах DeFi-безопасности: уязвимости смарт-контрактов больше не единственный источник системных рисков. Периферийная инфраструктура кроссчейн-мостов — RPC-ноды, сети валидаторов, сервисы подписей вне блокчейна — становится все более привлекательной целью. В 2026 году этот вектор атак быстро набирает обороты. На долю атак на Kelp DAO и Drift Protocol пришлось 95 % всех апрельских убытков DeFi, что наглядно показывает: злоумышленники системно расширяют атаки с отдельных смарт-контрактов на всю инфраструктурную прослойку DeFi.
Показательно, что за первые четыре с половиной месяца 2026 года произошло 47 криптовзломов, тогда как за аналогичный период 2025 года — 28. Рост составил примерно 68 % год к году.
Как децентрализованное кредитование вызвало ликвидностный шок на 13 миллиардов долларов?
Суть атаки заключалась не только в хищении токенов — злоумышленник использовал компонуемость DeFi для передачи риска между протоколами. Поддельные rsETH были распределены по семи адресам и активно использовались в качестве залога в кредитных протоколах, таких как Aave и Compound. Поскольку эти rsETH не были обеспечены реальными активами на блокчейне, их использование в качестве залога фактически означало внедрение «пустых чеков» в рынок кредитования.
Когда поддельный залог позволил занять реальные ETH, риск глубоко проник в механизмы ликвидации, резервы ликвидности и безопасность пользовательских депозитов кредитных протоколов. На Aave давление оказывалось с двух сторон: во-первых, стоимость rsETH как залога стала ненадежной, резко увеличив риск невозврата; во-вторых, паника на рынке вызвала массовый отток ликвидности, что еще сильнее ограничило возможности протокола покрывать убытки. После инцидента Совет безопасности Arbitrum заморозил 30 766 ETH на адресах, связанных с атакующими, что частично помогло ограничить дальнейшие потери.
Еще важнее то, что этот случай продемонстрировал и обратную сторону DeFi-компонуемости: при высокой взаимосвязанности протоколов структурный сбой в одном быстро перерастает в системный риск для всей экосистемы. В конечном итоге именно вкладчики и арбитражеры между протоколами несут основные убытки.
Как спасательный пул на 303 миллиона долларов стал предохранителем DeFi?
По состоянию на 27 апреля 2026 года инициатива DeFi United под координацией основателя Aave Стани Кулечова обеспечила более 303 миллионов долларов обязательств. Капитал распределен между ключевыми игроками экосистемы Ethereum и поступает в форме пожертвований, депозитов и кредитных линий.
В частности, публично объявленные обязательства включают: совместное обещание Consensys и Джозефа Любина выделить до 30 000 ETH; кредитная линия Mantle на 30 000 ETH; предложение Aave DAO о 25 000 ETH; обещание EtherFi до 5 000 ETH; предложение Lido о 2 500 stETH через управление; предложение Compound о гранте на 3 000 ETH; вклад Renzo из казначейства на сумму более 10 миллионов долларов; депозит Babylon Foundation в размере 3 миллиона USDT; поддержка Circle Ventures через покупку токенов AAVE; а также участие Avalanche Foundation, Solana Foundation и Джастина Сана — суммы их участия пока не раскрыты.
Отдельно стоит отметить, что LayerZero — кроссчейн-протокол — присоединился к спасательной инициативе на пятый день после инцидента, выделив 10 000 ETH: 5 000 ETH в виде прямого пожертвования фонду DeFi United и еще 5 000 ETH в качестве депозита в Aave для поддержки ликвидности. 29 апреля Puffer Finance объявил об участии за счет средств своего казначейства и стал ключевым участником инициативы в секторе рестейкинга.
Общий объем спасательного пула превысил 100 360 ETH, что делает его крупнейшей координацией капитала между протоколами в истории DeFi — это новый этап в реагировании индустрии на системные кризисы.
От ликвидации мошеннического залога до пакетных обменов ETH: как реализуется план спасения?
План спасения альянса DeFi United реализуется поэтапно, с основной целью — полностью восстановить обеспечение rsETH и покрыть просроченную задолженность, оставленную северокорейскими хакерами в Aave и Compound. В основе плана — постепенное превращение заложенного ETH обратно в rsETH для восстановления его внутренней стоимости. До этого протоколы временно скорректируют оракульную цену rsETH как залога, чтобы инициировать контролируемые ликвидации. Токены, возвращенные через ликвидацию, будут переведены на мультиподписной кошелек DeFi United, затем обменены на ETH по стандартной процедуре Kelp, чтобы покрыть дефицит финансирования на рынках кредитования.
Ключевой момент — децентрализованное управление: большинство выделенных средств требует формального одобрения через голосование DAO каждого протокола, поэтому скорость реализации будет зависеть от параллельного хода нескольких процессов управления.
Этот план не направлен на спасение злоумышленников, а на восстановление внутренней стоимости залога и минимизацию вторичных потрясений для пользователей и ликвидности протоколов. Логика проста: если DeFi позволит необеспеченным активам накапливать просроченную задолженность в кредитных протоколах, под угрозой окажется вся кредитная основа экосистемы, а не отдельный протокол. Поэтому механизм спасения — это, прежде всего, активное вмешательство в системный риск, а не моральная оценка отдельных действий.
Когда конкуренты объединяются: меняет ли операция спасения механизм доверия в DeFi?
Уникальность инициативы DeFi United — в широте участников и высоком уровне межпротокольного взаимодействия. Более 14 игроков экосистемы, включая прямых конкурентов, совместно несут финансовую ответственность в рамках единой схемы. Эта координация строится не на централизованных указаниях, а на прозрачных ончейн-обязательствах, агрегации средств через мультиподписи и поэтапном техническом исполнении.
Традиционно конкуренция в DeFi строится вокруг доходности, масштабов ликвидности и стимулов управления. В нормальных условиях это стимулирует развитие продуктов и эффективность. Но при системном риске отдельные протоколы часто не могут самостоятельно справиться с глубокой «заразной» задолженностью. Инцидент с Kelp DAO показал: тесная связь кроссчейн-мостов и кредитных протоколов не позволяет изолировать риск на уровне одного протокола.
Появление скоординированных спасательных мер свидетельствует о переходе децентрализованных финансов от чистой конкуренции к модели коллективной ответственности. Это не альтруизм — часть участников непосредственно подвержена риску невозврата, другие опасаются падения доверия к экосистеме. Мотивы разные, но есть эффективный консенсус по главной цели: поддержание общей кредитоспособности DeFi. Такая координация, возможно, не решает проблему системного риска окончательно, но задает важную модель для дальнейшего развития самовосстанавливающейся DeFi-экосистемы.
Итоги
Атака на кроссчейн-мост Kelp DAO на сумму 292 миллиона долларов стала крупнейшим инцидентом безопасности DeFi в 2026 году и была вызвана уязвимостью на инфраструктурном уровне — зависимостью от единственного валидатора. Злоумышленники обошли традиционные уязвимости смарт-контрактов, атаковав слой валидации вне блокчейна и выявив слепую зону в мониторинге кроссчейн-безопасности.
Спасательная инициатива DeFi United под руководством Aave установила новый рекорд по межпротокольной координации капитала: более 303 миллионов долларов от 14+ протоколов в виде пожертвований, депозитов и кредитных линий — яркий пример способности индустрии к совместным действиям в условиях системного кризиса. Этот случай подчеркивает важную логику: по мере углубления кроссчейн-интероперабельности негативные эффекты компонуемости будут накапливаться, а между механизмами оценки рисков и эволюцией инфраструктурной безопасности DeFi сохраняется явное отставание. Эффективность спасательных мер будет зависеть от качества управления и долгосрочной вовлеченности всех участников.
Часто задаваемые вопросы
Вопрос: Как произошла атака на Kelp DAO?
Злоумышленник использовал уязвимость в кроссчейн-мосте Kelp DAO на базе LayerZero, который полагался на единственный валидатор. Подделав входящие сообщения, атакующий обманул логику валидатора, в результате чего контракт моста на стороне Ethereum ошибочно выпустил 116 500 rsETH — примерно на 292 миллиона долларов.
Вопрос: Откуда поступают средства для спасательной операции DeFi United?
На 27 апреля в рамках плана спасения было обеспечено более 303 миллионов долларов обязательств от участников, включая Consensys, Lido, EtherFi, Mantle, Compound, Renzo, Babylon Foundation, LayerZero (10 000 ETH), Puffer Finance и десятки других проектов и организаций.
Вопрос: Как будут компенсированы держатели rsETH?
DeFi United будет поэтапно превращать заложенные ETH в rsETH для восстановления его обеспеченности. В ходе реализации активы будут переводиться на мультиподписной кошелек, затем обмениваться на ETH для покрытия дефицита на рынках кредитования. Оставшиеся средства будут направлены на компенсацию держателям rsETH.
Вопрос: Как это событие повлияет на развитие безопасности DeFi?
Атака показала, что риски безопасности DeFi вышли за пределы уязвимостей смарт-контрактов и затронули слой валидации вне блокчейна в кроссчейн-инфраструктуре. Теперь традиционного ончейн-мониторинга недостаточно — необходимы более комплексные системы проверки неизменности кроссчейн-операций, чтобы удостоверяться в подлинности сообщений и соответствии заблокированных токенов в исходных сетях.
Вопрос: Как DeFi-протоколы могут предотвратить подобные атаки в будущем?
Есть три основных направления: во-первых, настраивать кроссчейн-мосты с несколькими независимыми валидаторами, чтобы устранить единую точку отказа; во-вторых, строить надежные системы мониторинга целостности кроссчейн-данных; в-третьих, развивать обмен информацией о рисках и координированные механизмы реагирования между протоколами для борьбы с быстрым распространением системных угроз.
