#ArbitrumFreezesKelpDAOHackerETH Недавний инцидент, связанный с эксплойтом Kelp DAO и экстренным вмешательством Совета безопасности Arbitrum, быстро стал одним из самых определяющих моментов 2026 года для децентрализованных финансов. Это не просто очередная взлом в долгой истории нарушений DeFi — это структурный стресс-тест того, как экосистемы Layer 2, межцепочные мосты и децентрализованное управление действительно ведут себя под экстремальным давлением.

Что произошло, заставило всю криптоиндустрию столкнуться с неприятными вопросами о безопасности, контроле и децентрализации в масштабах, которых мы раньше не видели.
Взлом, потрясший Liquid Restaking
Кризис начался, когда Kelp DAO, протокол жидкого рестейкинга, пострадал от масштабного взлома, нацеленного на его межцепочную инфраструктуру. Kelp DAO позволяет пользователям вносить активы, такие как stETH и cbETH, и получать взамен rsETH, которые затем можно использовать на нескольких цепочках для получения дохода.
Злоумышленник использовал уязвимость в системе проверки межцепочной передачи сообщений, построенной на инфраструктуре LayerZero. Создав поддельное, но казалось бы действительное сообщение, злоумышленник обманул систему, заставив её выпустить средства без должного обеспечения.
Это был не просто баг в смарт-контракте — это системный сбой в проверке, затрагивающий несколько уровней межцепочной коммуникации.
Сообщается, что злоумышленник использовал инструменты конфиденциальности, такие как Tornado Cash, чтобы скрыть происхождение средств, и заранее подготовил ликвидность перед выполнением взлома. В общей сложности было украдено около 116 500 rsETH — почти на $292 миллионов долларов, что составляет значительную часть циркулирующего предложения.
Масштаб атаки мгновенно сделал её одной из крупнейших DeFi-эксплойтов года и вызвал немедленные опасения относительно стабильности rsETH в различных экосистемах.
Экстренное вмешательство Arbitrum
Когда средства начали поступать в экосистему Arbitrum через мосты, ситуация быстро обострилась. Часть украденных активов — около 30 766 ETH на сумму примерно $71 миллионов долларов — оказалась на Arbitrum One.
В этот момент Совет безопасности Arbitrum принял очень спорное, но решающее решение: они проголосовали за заморозку скомпрометированных средств.
Решение было принято большинством 9 из 12 голосов, активировав чрезвычайные полномочия управления, позволяющие вмешиваться в экстремальных ситуациях. Замороженные активы были переведены в управляемый советом кошелек до дальнейших решений.
Этот шаг сразу же расколол сообщество.
Сторонники утверждали, что это действие предотвратило необратимые потери и создало путь для возможного восстановления пострадавших. Однако критики считали это опасным прецедентом — предполагая, что сети Layer 2, несмотря на ярлык децентрализованных, всё же полагаются на централизованные чрезвычайные полномочия.
Основная техническая ошибка в Kelp DAO
В основе взлома лежит более глубокая архитектурная проблема в реализации проверки межцепочной валидации.
Система Kelp DAO основывалась на конфигурации, которая позволяла использовать один путь проверки для межцепочных сообщений. Это означало, что если этот единственный уровень проверки был обманут, вся система принимала мошеннические сообщения за легитимные.
Именно эту уязвимость и использовал злоумышленник.
После принятия поддельного сообщения протокол выпустил активы, как будто они были должным образом обеспечены, что создало значительный дисбаланс в предложении rsETH. В результате часть rsETH теперь фактически недозалогована на нескольких цепочках, что создает неопределенность для держателей и поставщиков ликвидности.
Такой сбой подчеркивает фундаментальную проблему модульного дизайна DeFi: чем более взаимосвязаны и модульны системы, тем более хрупкой становится их самая слабая точка проверки.
Дебаты о ответственности: кто виноват?
Как и ожидалось при крупных сбоях в DeFi, ответственность стала предметом споров.
Представители LayerZero утверждают, что проблема возникла из-за того, как Kelp DAO настроил свои параметры безопасности, особенно из-за решения полагаться на один проверяющий, а не на мультиверификационную модель.
С другой стороны, Kelp DAO настаивает, что его реализация следовала официальной документации и рекомендуемым шаблонам интеграции, подразумевая, что уязвимость могла быть системной, а не только результатом неправильной настройки пользователем.
Это разногласие подчеркивает давнюю проблему инфраструктуры Web3: отсутствие четко определенных границ ответственности между протокольными слоями, поставщиками инфраструктуры и разработчиками приложений.
Когда что-то идет не так, ответственность распадается по всему стеку.
Реакция рынка и удар по доверию
Реакция рынка была мгновенной и интенсивной. rsETH столкнулся с серьезным давлением, поскольку пользователи спешили переоценить, полностью ли их активы обеспечены. Ликвидность распалась по цепочкам, усложняя выкуп и арбитраж.
Более того, доверие к жидкому рестейкингу как категории пострадало.
Стратегии межцепочного взаимодействия, которые раньше казались очень эффективными, теперь выглядят значительно более рискованными, особенно когда инфраструктура мостов становится точкой атаки.
Хотя вмешательство Arbitrum предотвратило дальнейшее движение украденных средств, оно не полностью восстановило доверие к базовой архитектуре протокола.
Дилемма децентрализации и безопасности
Возможно, самое важное в этом событии — не технический аспект, а философский.
Криптоиндустрия снова обсуждает главный вопрос: должны ли децентрализованные системы иметь возможность вмешиваться в чрезвычайных ситуациях?
С одной стороны, такие меры, как заморозка средств, могут снизить ущерб, защитить пользователей и стабилизировать экосистемы во время кризиса. Без таких механизмов украденные средства, скорее всего, были бы навсегда потеряны.
С другой стороны, критики утверждают, что как только система может замораживать или контролировать активы, она вводит централизованный уровень власти, противоречащий основному обещанию децентрализации.
Решение Arbitrum теперь создает прецедент: органы управления Layer 2 могут быть обязаны вмешиваться в будущие кризисы, независимо от согласия сообщества.
Более широкие последствия для экосистем Layer 2
Этот инцидент имеет важные последствия для всех сетей Layer 2, включая решения масштабирования на базе Ethereum.
Экстренные советы, мультиподписные системы управления и комитеты безопасности уже не являются опцией — они становятся необходимыми компонентами инфраструктурного проектирования.
Следующая задача — как формализовать эти системы так, чтобы сбалансировать прозрачность, ответственность и децентрализацию.
Если управление слишком слабое, пользователи рискуют необратимыми потерями. Если слишком сильное — система начинает напоминать традиционные финансовые структуры контроля.
Межцепочные мосты под давлением
Этот взлом также подтверждает известную истину в DeFi: межцепочные мосты остаются одними из самых уязвимых компонентов всей экосистемы.
Сложные системы передачи сообщений, предположения о множественных валидаторах и асинхронная проверка состояния создают среду, в которой одна ошибка может привести к системному сбою.
В результате индустрия, вероятно, перейдет к:
Более надежным мультиверификационным схемам
Резервным уровням проверки
Более консервативным предположениям о мостах
Обширным предварительным аудитам контрактов совместимости
Однако эти улучшения могут сказаться на скорости и гибкости, что потенциально замедлит инновации в межцепочевом DeFi.
Что дальше
В будущем, вероятно, произойдут несколько структурных изменений:
DeFi-протоколы введут более строгие стандарты раскрытия рисков, чтобы пользователи лучше понимали межцепочные риски. Рамки управления станут более формализованными, особенно в экосистемах Layer 2. Советы безопасности могут стать стандартной частью инфраструктуры, а не исключением.
Регуляторы также могут проявить повышенный интерес к межцепочным инфраструктурам, особенно по мере масштабирования потерь в сотни миллионов долларов.
Самое важное — разработчики могут перейти к приоритету архитектур с акцентом на безопасность вместо агрессивной взаимосвязанности.