#rsETHAttackUpdate

Взлом моста Kelp DAO, шок на 10 миллиардов долларов для DeFi
В субботу 18 апреля 2026 года криптовалютный рынок был поражен крупнейшей атакой DeFi за год. Хакеры вывели ровно 116 500 rsETH, стоимостью около 292 миллионов долларов, с моста, основанного на LayerZero, который перемещает токен rsETH Kelp DAO между цепочками. Уязвимость произошла за одну транзакцию в 17:35 по всемирному времени. Атакующие обманули мост с помощью поддельного пакета LayerZero и опустошили rsETH.
Что произошло? Технический разбор
Одиночная уязвимость DVN: Маршрут моста Unichain к Ethereum работал на конфигурации DVN 1 из 1, то есть активен был только один проверяющий. Атакующий манипулировал RPC-узлами, создал поддельный пакет и один проверяющий его подписал.
Мост опустошен: Адаптер OFT на Ethereum хранил 116 723 rsETH. После атаки баланс снизился до 223 rsETH всего за один блок.
Куда ушли деньги: Из украденных rsETH 89 567 были внесены в Aave V3 в качестве залога. Хакер затем занял 82 650 WETH и 821 wstETH против них. Факторы здоровья находились в диапазоне между 1.01 и 1.03, поэтому позиции находились на грани ликвидации.
Команда Kelp DAO активировала экстренный мультисиг и остановила все контракты в течение 46 минут. Если бы они не предприняли действия, злоумышленник мог бы вывести еще 40 000 rsETH и увеличить общие потери до 391 миллиона долларов.
Влияние на крипторынок: как развивались события
1. Кризис ликвидности в Aave
Aave держал 83 процента от общего объема rsETH. С учетом залога и заимствований, Aave внезапно оказался под угрозой потенциальных плохих долгов на сумму от 124 до 230 миллионов долларов.
Результат:
Общий TVL Aave снизился с 45 миллиардов до 30 миллиардов долларов за три дня, что составляет падение на 33 процента.
Пользователи паниковали и выводили средства. Около 10,1 миллиарда долларов активов покинули протокол.
Процентные ставки по ETH выросли с 2 до 8 процентов — самый высокий уровень с января 2024 года.
Процентные ставки по USDT и USDC выросли с 3,4 до 14 процентов.
Aave заморозил рынки rsETH и wrsETH на 11 сетях, включая Ethereum, Arbitrum, Avalanche, Base, Linea и Mantle.
2. Движение цен и снижение TVL
Токен AAVE потерял от 15 до 18 процентов своей стоимости.
Общий TVL DeFi снизился с 99 миллиардов до 89 миллиардов долларов 18 апреля, что уничтожило 10 миллиардов долларов.
Джастин Сан вывел 65 580 ETH за одну транзакцию, примерно на 154 миллиона долларов.
3. Цепная реакция
SparkLend и Fluid также закрыли свои рынки rsETH. Lido прекратил новые депозиты в продукты, связанные с rsETH. Инфраструктура реле продолжала работать, но выводы из хранилищ были приостановлены из-за залога, связанного с рынком WETH в Aave.
Кто ответственен? Все взгляды обращены
LayerZero указала на Lazarus Group. В отчете RWATimes отмечена их подгруппа TraderTraitor. Кошельки злоумышленников финансировались через Tornado Cash.
Важная деталь: по данным Llamarisk и отчета Aave, собственные контракты Aave не были скомпрометированы. Проблема полностью заключалась в конфигурации моста Kelp DAO.
План восстановления: спасательный кредит на 30 000 ETH
Mantle предложил предоставить кредит до 30 000 ETH для покрытия плохого долга Aave DAO. Срок займа — 36 месяцев с процентной ставкой, равной доходности Lido плюс 1 процент. Стани Кулечов объявил о поддержке с фразой DeFi United.
Kelp DAO удалось восстановить 40 373 rsETH. Это покрывает только 26 процентов от спроса в 152 577 rsETH по всем L2. Версия rsETH на основном сети пока не затронута, так как она напрямую обеспечена стекингом.
Три урока из этого инцидента
1. Безопасность моста — безопасность DeFi: запуск одного проверяющего DVN означает доверие 292 миллионам долларов одному пакету. Проекты, использующие LayerZero, скорее всего, потребуют настройки нескольких DVN и опциональных проверяющих.
2. Системный риск в LRT: когда ликвидные токены повторного стекинга, такие как rsETH, концентрируются в крупных протоколах вроде Aave, одна уязвимость может потрясти весь рынок. Наличие 83 процентов в одном протоколе — слишком большая экспозиция.
3. Ореклы отстают: во время взлома Aave все еще оценивал rsETH по близкой к паритету цене и разрешал заимствование 106 467 ETH. Уязвимость моста не отразилась достаточно быстро в ценовых фидах.
Что будет дальше
Краткосрочно версии rsETH на L2 останутся неликвидными. 40 373 rsETH в мосту не смогут покрыть весь rsETH на L2. Это означает, что rsETH на Arbitrum, Base и Mantle будет временно вести себя как квитанции без хранилища.
Среднесрочно, если плохой долг Aave будет погашен через заем Mantle и выплаты Kelp DAO, доверие может восстановиться. Регуляторы, вероятно, усилят контроль стандартов мостов. Как сообщила Al Jazeera Economy, эта атака — часть растущей тенденции нарушений безопасности DeFi в 2026 году.
Заключительная мысль
#rsETHAttackUpdate не только поразил Kelp DAO. Потеря Aave 10 миллиардов долларов показала, насколько взаимосвязаны все DeFi. В будущем важнее будет спрашивать, кто аудитирует мост, чем какой APY предлагают.
Следите за новостями, потому что пока неясно, как Kelp DAO распределит восстановленные 40 373 rsETH. Это решение определит потери для держателей rsETH на L2.