#KelpDAO跨链桥遭攻击 Kelp DAO 2.9 мільярдів доларів великий обвал: "смертельна спіраль" позичання без ізоляції та DeFi-каменярська церква

У цей ранок квітня 2026 року блокчейн-час залишався незмінним — кілька секунд, але за цим коротким періодом, 2,9 мільярдів доларів справжніх грошей, наче зникли у чорній дірі, не залишивши й сліду. Це не стратегічне переміщення державного фонду якоїсь країни, а найабсурдніша, найжорстокіша одноденна грабіжницька атака в історії DeFi — Kelp DAO rsETH Exploit.
Коли всі захоплювалися майстерністю хакера у кодовому розрізанні, ветерани кількісних стратегій з Волл-стріт і хардкорні гравці крипто-панку відчули лише холодний пронизливий холод. Адже це зовсім не просто крадіжка технологічного характеру — це удар по базовій логіці DeFi. Хакер не зламав сейф, він просто довів неізольовану систему позичання до цінності папірця, а потім цілком легальною мовою забрав усі гроші з казни.

Кінець російської матрьошки — портрет головної мережі

Щоб зрозуміти цю трагедію на 2,9 мільярдів доларів, потрібно спершу зрозуміти найзагадковішу і найпротилежну логіці Понзі алхімію у світі Web3: токени ліквідності з повторним залученням (LRT).
У традиційних фінансах заставою є саме застава: ви берете іпотеку під будинок, і право власності на нього заблоковане. Але у світі DeFi, де гормони викидають з себе все, капітальна ефективність має бути доведена до межі. У вас є один Ethereum. Ви кладете його у Lido, отримуєте stETH, отримуєте базовий дохід від стейкінгу. Це ще не все — ви знову кладете stETH у EigenLayer, протокол повторного залучення, щоб заробити на безпеці інших мереж. На цій стадії ліквідність мала б висохнути, але тут з’являється Kelp DAO і каже: брате, дай мені свій сертифікат, я зроблю тобі ще один — rsETH. Це і є токен повторного залучення ліквідності. З цим rsETH ви отримуєте не лише потрійний дохід, а й можете взяти його у позичку у протоколі, використовуючи як цінний актив, і позичити ще один Ethereum. Нога на газі, друга нога — у хмарах, і ви навіть мрієте побудувати віллу у стратосфері.
Але фізика фінансів — дуже холодна наука: кожен похід активу ускладнює системний ризик у геометричній прогресії (DeFi Contagion Risk). Ви думаєте, що rsETH — це залізний талон, але насправді це бомба із запізнюваним детонатором, наповнена п’ятьма шарами контрактів. Якщо будь-який рядок коду у базовій мережі Ethereum, у Lido, EigenLayer або Kelp DAO має логічну ваду, ця величезна фінансова будівля миттєво зруйнується. І цього разу саме Kelp DAO — це та основа, яка зникає.
Хакер, використовуючи логічні вади у смарт-контрактах, через дуже приховану атаку з використанням флеш-лоанів і маніпуляцій з оракулом, за короткий час створює масу "повітряних" rsETH без будь-якої підкріплюючої базової активності. Якщо б ця історія закінчилася тут, — це була б просто внутрішня справа Kelp DAO, максимум — нульова вартість "повітряних" монет, і платили б лише ті, хто прагне високих відсотків. Але справжній вибуховий заряд — це "неізольована модель позичання", яка стала ідеалом у світі DeFi.

Неізольоване позичання: класти всі сімейні заощадження у незамкнений ящик

Хакер тепер має купу rsETH, які він щойно створив із нульовою вартістю. Він не йде на децентралізовану біржу (DEX), щоб продавати ці токени — адже їхній обсяг не витримає тиск у 2,9 мільярдів доларів, і прослизне ціновий скіл — він просто заходить у гіганта DeFi — Aave. Саме тут і криється смертельна слабкість неізольованої моделі позичання (Non-isolated Lending Models).
Щоб підвищити "ефективність капіталу", великі протоколи люблять змішувати всі гроші у один великий пул. У цьому котлі, незалежно від того, чи це міцна USDC, чи потенційно вибухова якась альткоїн, — все може бути використане як застава, якщо голоси власників керуючого токена схвалять. І тоді будь-який актив — реальний або штучний — може бути використаний як застава для позики будь-якого іншого активу з пулу.
Хакер безжально кладе масу rsETH у Aave. У цей момент, у ока оракула Aave, ці rsETH ще сяють високою цінністю, бо на DEX ще не почався крах цін. Смарт-контракт, безжальний і беземоційний, механічно відкриває для хакера доступ до всього пулу, згідно з правилами кредитування. Хакер масово позичає USDC, USDT, WBTC і реальний ETH.
У цьому процесі ніхто не заважає, всі операції — за логікою коду, і навіть під час транзакції система рахує відсотки. Коли хакер виводить реальні активи через крос-ланцюг і зникає, залишається чорна діра — бездонна і безжальна. Це і є "поганий борг" Aave (Aave Bad Debt).
Звичайні інвестори, які просто хотіли отримати 4% річних на USDC, раптом виявляють, що не можуть вивести свої гроші. Пул висмоктаний до дна, у казні лишився лише rsETH, вартість якого наближається до нуля. Неізольована модель позичання — це як товстий залізний канат, що з’єднує кораблі у флоті, які мають боротися самі. Якщо одна з них загоряється, вся ескадра не зможе втекти.

Масовий танець смертельної спіралі та безжальна м’ясорубка ліквідності
Якщо борг утворився, то "смертельна спіраль" у DeFi — це вже не просто економічний термін, а жорстокий соціологічний експеримент. Коли ринок усвідомлює, що rsETH зазнав руйнівного удару, його ціна починає падати у вільному падінні до центру Землі. Механізм ліквідації Aave активується, щоб погасити борги і заповнити прогалину. Але це — безнадійна пастка.
Ліквідатор не робить благодійність, він мусить купити знецінений rsETH за реальні гроші і продати його на ринку з прибутком. Але коли виявляється, що за rsETH немає жодних реальних активів, — ніхто не хоче платити навіть один цент. Відсутність ліквідності робить неможливим ліквідацію; без ліквідації борги залишаються, і паніка поширюється, мов епідемія. Це викликає масові панічні зняття — всі користувачі Aave починають масово натискати кнопку "вивести". Відсоткові ставки злітають до абсурдних значень, щоб залучити нові депозити, але це лише погіршує ситуацію — користувачі, що позичають під здорові активи, раптово отримують величезні відсотки, їхні застави погіршуються, і їх зразу ж ліквідують. Це — яскравий приклад поширюваного ризику (DeFi Contagion Risk).
Уразливість Kelp DAO не лише знищила саму себе, а й через кровоносні судини неізольованого позичання поширила отруту по всьому серцю DeFi. Ті, хто навіть не знає, що таке LRT або повторне залучення активів, — просто через те, що їхні гроші і високоризикові активи зберігаються у одному пулі, змушені платити за безглузду вечірку хакера.

Ваш високий дохід — це передоплата новорічної премії для хакера

На руїнах цієї катастрофи у 2,9 мільярдів доларів ми маємо не лише аналіз вразливості коду, а й глибше — ілюзії у деяких нарративах DeFi. Весь сектор щодня кричить про децентралізацію, прозорість і "код — закон", але у реальності, коли йдеться про справжні гроші, все зводиться до жадібної боротьби за високий відсоток, що призводить до знецінення і руйнування. Неізольоване позичання — це механізм, що фактично приватизує прибутки і соціалізує ризики. Проектні команди, щоб залучити капітал, постійно просувають різноманітні сумнівні синтетичні активи у білі списки через голосування.
Вони хваляться глибиною пулу і ефективністю капіталу, але мовчать про величезний кредитний розрив між активами. У бумі, коли все добре, — всі раді, ти заробляєш відсотки і TVL; але при кризі ця складна мережа миттєво руйнується, і всі багатства зникають у пилюці. Випадок rsETH у Kelp DAO — не останній.
Поки DeFi продовжує використовувати активи для створення нових активів через залучення, і поки протоколи не відмовляться від неізольованих пулів, системна криза буде повторюватися циклічно, знову і знову висмоктуючи ліквідність з ринку.
На Волл-стріт, коли ви доводите систему до межі за допомогою кредитного плеча і викликаєте системний колапс, — можливо, вас врятують ФРС і державна підтримка. Але у темному лісі Web3, де немає центробанків, немає автоматичних "зупинок" і немає співчуття, — хакер за 2,9 мільярдів доларів дає всім DeFi-маніякам найкоштовніший урок фінансового ризик-менеджменту: коли ви не розумієте, звідки береться 20% річних, — не сумнівайтеся, ця віддача — це ваш власний капітал, і ви — той, хто зачинений у найглибшому ярусі кодового матрьошки.