#ArbitrumFreezesKelpDAOHackerETH

21 квітня 2026 року Рада безпеки Arbitrum здійснила надзвичайне втручання, яке сколихнуло екосистему DeFi. Вони заморозили приблизно 30 766 ETH, оцінюваних приблизно у $71 мільйонів, що зберігалися на адресі в Arbitrum One, безпосередньо пов’язаній з експлоїтом Kelp DAO, який стався всього за кілька днів раніше.

Ця дія є однією з найважливіших випадків втручання управління рівня 2 за останній час. Фонди не просто були заблоковані, а й переведені на посередницький гаманець, контрольований управлінням, що фактично зробило їх недосяжними для зловмисника без додаткового схвалення механізмів управління Arbitrum. Рішення було прийнято після консультацій з правоохоронними органами щодо ідентичності зловмисника, що свідчить про прогрес у слідстві за підозрою у наймасштабнішому у 2026 році DeFi-хаку.

Щоб зрозуміти масштаб цього заморожування, потрібно повернутися до 18 квітня, коли стався експлоїт Kelp DAO. Зловмисник зміг вивести приблизно 116 500 rsETH, що представляє собою повторно поставлені ETH-токени, з загальною вартістю близько $292 мільйонів на момент атаки. Ця сума становила приблизно 18% від усього обігу rsETH, що робить її не лише найбільшим злом у році, а й системною загрозою для екосистеми повторного ставлення.

Сам експлойт був складним у виконанні. Зловмисник використав уразливість у міжланцюговій мостовій інфраструктурі Kelp DAO, що працює на LayerZero. Підробивши дійсне міжланцюгове повідомлення, він обдурив систему, щоб вона створила rsETH на Arbitrum без законного підґрунтя. Цей метод виявив критичні слабкості у протоколах міжланцюгових повідомлень, що підтверджують транзакції у різних блокчейнах.

Розгортання токена rsETH у більш ніж 20 ланцюгах, включаючи Base, Linea та Blast, означало, що вплив експлоїту поширився на багатоланцюгову DeFi-екосистему. Команда безпеки Kelp DAO відреагувала, призупинивши основні контракти приблизно через 46 хвилин після початку виведення, але шкода вже була значною. Основні кредитні протоколи, такі як Aave і SparkLend, швидко зупинили торги, що стосувалися rsETH у ролі застави, запобігаючи подальшому ланцюговому ліквідаційному ефекту та системним ризикам.

Діяльність Arbitrum щодо заморожування відновила приблизно 25% вкрадених коштів, що є значною частковою перемогою у галузі, де рівень відновлення експлойтів зазвичай близький до нуля. Однак історія не закінчилася там. Зловмисник, демонструючи технічну витонченість і операційну дисципліну, швидко перевів залишки $175 до $220 мільйонів ETH на нові гаманці та почав операції з відмивання. Приблизно $80 мільйонів було переказано через THORChain у Bitcoin, а додаткові кошти — через інструменти приватності, такі як Umbra, та різні сервіси змішування.

Прив’язка до цього нападу стала предметом інтенсивних спекуляцій у спільноті безпеки. LayerZero та інші аналітики попередньо пов’язали експлойт із групою Lazarus з Північної Кореї, державним хакерським колективом, відповідальним за численні високопрофільні крадіжки криптовалют на мільярди доларів. Якщо це підтвердиться, це стане ще одним прикладом того, як державні актори цілеспрямовано атакують протоколи DeFi для фінансової вигоди, ймовірно, щоб фінансувати діяльність режиму Північної Кореї, ігноруючи міжнародні санкції.

Замороження Arbitrum викликало гарячі дебати щодо природи децентралізації у екосистемах Layer 2. Багато хвалили швидке реагування Ради безпеки у відновленні вкрадених коштів, інші піднімали питання про концентрацію влади у тому, що позиціонують як децентралізовані мережі. Arbitrum використала свої надзвичайні мультиsig-можливості для здійснення цього заморожування, підкреслюючи, що навіть у нібито бездовірливих системах управлінські структури зберігають значну централізовану здатність за необхідності.

Критики стверджують, що цей інцидент викриває маркетингову вигадку про повну децентралізацію у сучасних реалізаціях L2. Можливість Ради безпеки односторонньо заморожувати і переміщувати кошти суперечить ідеї цензуростійкості, що лежить в основі блокчейн-ідеології. Підтримувачі заперечують, що без таких механізмів вся екосистема залишилася б вразливою до експлойтів без можливості для жертв отримати компенсацію, що в підсумку підривало б широке впровадження та регуляторне визнання.

Технічна реалізація заморожування також заслуговує на увагу. Переміщуючи кошти до посередницького гаманець, контрольованого управлінням, а не просто чорним списком адреси, Arbitrum створила правову та процедурну основу для потенційного відшкодування. Такий підхід намагається збалансувати негайну потребу збереження активів із довгостроковими питаннями законного володіння та належної процедури.

Для ширшої спільноти DeFi експлойт Kelp DAO і подальше заморожування є яскравим нагадуванням про ризики, що виникають у міжланцюговій інфраструктурі. Оскільки галузь рухається до все більш взаємопов’язаних багатоланцюгових архітектур, поверхня атаки зростає пропорційно. Кожен міст, кожен протокол повідомлень, кожен міжланцюговий контракт — потенційна вразливість, яку можуть використати досвідчені зловмисники.

Kelp DAO наразі координує зусилля з відновлення та співпрацює з різними зацікавленими сторонами для визначення подальших кроків щодо заморожених коштів і ширшої системи повторного ставлення. Інцидент спонукав до закликів до посилення аудитів безпеки міжланцюгових протоколів повідомлень і більш надійних механізмів валідації для процесів створення токенів у різних ланцюгах.

Експлойт також підкреслює безперервну гру котів і мишей між протоколами DeFi і зловмисниками. З покращенням заходів безпеки зловмисники розробляють дедалі більш витончені методи обходу. Використання міжланцюгових мостів як векторів атак є еволюцією стратегій експлойтів, що виходить за межі простих уразливостей смарт-контрактів і спрямоване на складну інфраструктуру взаємодії, яка лежить в основі сучасного DeFi.

У майбутньому ця подія, ймовірно, вплине як на технічний розвиток, так і на регуляторні підходи до мереж Layer 2 і міжланцюгових протоколів. Можливість заморожувати кошти може привернути додаткову увагу регуляторів, які потенційно розглядатимуть такі механізми як шляхи до відповідності та відновлення активів. Одночасно розробники відчують тиск на впровадження більш децентралізованих структур управління, здатних реагувати на надзвичайні ситуації без використання централізованих мультиsig-можливостей.

$71 мільйонів заморожених коштів є свідченням як вразливостей, так і стійкості сучасної екосистеми DeFi. Це демонструє, що навіть після руйнівних експлойтів скоординовані дії можуть відновити значну цінність. Водночас це попередження, що шлях до справді децентралізованої, безпечної та взаємодіючої блокчейн-інфраструктури ще не завершений, і кожен великий інцидент відкриває нові виклики, які галузь має подолати.