#KelpDAOBridgeHacked ✨Децентралізована фінансова система (DeFi) зазнала найбільшого тесту на міцність цього року під час атаки на міст Kelp DAO у суботу, 18 квітня 2026 року, о 17:35 за всесвітнім часом. Міст Zero рівня, підтримуваний Kelp DAO, був обманутий за допомогою фальшивого повідомлення підтвердження, і було виведено 116 500 rsETH — приблизно $292 мільйон$250 — за одну транзакцію. Ця сума становить близько 18% від загального обсягу rsETH у 630 000, і подія сталася за 46 хвилин. Команда Kelp зупинила контракти за допомогою багатопідписного аварійного підпису о 18:21 за всесвітнім часом, але до того часу значна частина коштів була переведена в ETH через адреси, пов’язані з Tornado Cash.

🧐Техніка атаки
Перевірка рівня повідомлень LayerZero виявила фальшиві інструкції переказу, що здавалося, походили з іншої ланцюга. Це активувало функцію lzReceive у мості, що дозволило несанкціонований виклик.
Зловмисник використав вразливість у перевірці для створення 116 500 rsETH у своєму гаманці, а потім спробував викрасти ще 40 000 rsETH у двох додаткових спробах; обидві спроби були зупинені завдяки аварійній зупинці Kelp.
🧐Потік коштів та використання важеля
Близько (мільйона викрадених rsETH швидко перетворилися в ETH. Дані ланцюга показують, що зловмисник позичив 106 467 ETH )близько 250 мільйонів доларів$236 .
Кошти були використані як застави в Aave V3/V4, Compound V3 та Euler, що призвело до створення понад (мільйона) проблемних боргів.
🧐Засоби та постраждалі ланцюги
Порожній міст підтримував резерви rsETH, обгорнені через понад 20 ланцюгів, включаючи Base, Arbitrum, Linea, Blast і Scroll. Тепер користувачі rsETH на мережах Layer 2 піддаються ризику недостатності застав.
Kelp зупинила контракти на основній мережі та Layer 2; повідомляється, що кошти користувачів не були безпосередньо вкрадені, але операції з купівлі були знову призупинені через нестачу резервів.
🧐Реакція ринку
Платформа Aave заблокувала ринки rsETH у версіях V3 і V4 протягом кількох годин. SparkLend і Fluid зробили те саме. Платформа Lido Finance припинила нові депозити у своєму продукті earnETH. Платформа Ethena закрила мости LayerZero OFT на 6 годин як запобіжний захід.
Ціна токена AAVE знизилася приблизно на 10% після новин. Витік коштів rsETH зросла, що підвищило загальну заблоковану вартість (TVL), посилюючи тенденцію "бегства до безпеки" у DeFi.
🧐Системний контекст
Це стало найбільшим зломом у DeFi у 2026 році, перевищивши атаку протоколу Drift 1 квітня $482 близько 285 мільйонів доларів$590 . Втрати від зломів і шахрайств у першому кварталі 2026 року вже сягнули #Gate13thAnniversaryLive мільйонів#CryptoCommunity .
У соціальних мережах подія підсилювала наратив про те, що "перерозподіл + міст = найслабше місце". Іспаномовні та португальські спільноти наводили стабільність Bitcoin у цей період як контрприклад слабкості DeFi.
🤔Висновки та прогнози
Злом KelpDAO ще раз довів, що зростання випереджає безпеку. У короткостроковій перспективі:
Ліквідність rsETH продовжить скорочуватися, збільшуючи ризик зниження вартості обгорнутих копій у мережах Layer 2.
Aave та інші протоколи кредитування змушені будуть виділяти резерви або розкривати плани компенсації за проблемні борги.
Аудиторські компанії та LayerZero випустять термінові оновлення своєї логіки перевірки повідомлень.
У довгостроковій перспективі галузь запровадить стандарти, такі як багатопідписна перевірка, моніторинг аномалій у реальному часі та страхові фонди для міжланцюгових мостів. Три найбільші зломи, що перевищили #CreatorCarnival мільйонів#GateSquare за 18 днів у 2026 році, свідчать про те, що інституційний капітал може перейти до більш регульованих сфер, таких як ETF на Bitcoin, поки не буде розвинена безпекова інфраструктура.
Ясна урок для інвесторів: не прибуток важливий, а де і як перевіряються застави, і це стане вирішальним. Атака на міст Kelp DAO увійшла в історію як найяскравіший приклад рівня "висока активність = високий ризик" у DeFi.