Щойно я розбирався з однією з найдикіших історій у DeFi за останні роки. 18 квітня, рівно 46 хвилин — ось скільки знадобилося, щоб зливти 293 мільйони доларів із екосистеми. Мова йде про злом моста Келп, і це не просто ще один експлойт, це системний кризис, який показав, наскільки крихкою може бути вся архітектура децентралізованих фінансів.

Ось що сталося. Зловмисник використав уразливість у крос-ланцюговому мосту Келп DAO, який працює на LayerZero. Але ось у чому підстава — це не була помилка коду. Це була помилка конфігурації. Келп використовував так звану конфігурацію DVN 1 з 1, тобто лише один вузол валідатора перевіряв усі повідомлення між ланцюгами. Один вузол. Уявляєте? Зловмисник або зломив його, або обманув, надіслав підроблене повідомлення, і міст випустив 116 500 rsETH (приблизно 293 мільйони доларів) просто так — ні на що не забезпечені, створені з повітря.

Далі почалося найцікавіше. Замість того щоб скинути токени на ринок, хакер діяв хірургічно точно. Він залогував цю підроблену rsETH у Aave як заставу, позичив реальний WETH, потім повторив те саме на Aave V4. До моменту, коли Келп зміг заморозити контракти (пройшло 46 хвилин), реальні активи вже зникли. Спроба повторити атаку ще двічі не спрацювала лише тому, що система вже була заморожена.

Що сталося далі — це каскадний колапс. Aave залишився з 196 мільйонами доларів безнадійного боргу, тому що rsETH просто перестав коштувати. Пул WETH досяг 100-відсоткового використання, люди не могли вивести свої гроші. TVL Aave упав з 26 мільярдів до 22 мільярдів — втрата 6.6 мільярда за один день. Токен AAVE упав на 20%, хоча зараз уже відновився до 98.91 долара з приростом 3.31% за останні добу.

Паніку викликали виведення коштів на 5.4 мільярда доларів. Люди просто налякалися і почали масово йти з протоколу. Це класична банківська паніка, але в DeFi вона трапляється за години, а не за дні.

Інцидент поширився щонайменше на дев’ять інших платформ — SparkLend, Fluid, Lido (його продукт EarnETH), Compound, Euler і ще кілька. Всі вони або заморозили ринки rsETH, або призупинили операції як запобіжний захід. Навіть Ethena, яка взагалі не мала експозиції до rsETH, призупинила свої LayerZero мости просто так, із страху.

Що мене вражає у цій історії — це не технічна сторона. Код Келп був нормальним. Це був вибір конфігурації. Михайло Єгоров із Curve добре підсумував: речі можуть траплятися, коли ви довіряєте одній єдиній стороні, ким би вона не була. І це не порушувало ніяких правил LayerZero — протокол просто дозволив таку конфігурацію.

Що стосується грошей — їх практично неможливо повернути. Хакер швидко відмив усе через Tornado Cash, розподіливши кошти по кількох гаманцях. ZachXBT виявив шість гаманців, пов’язаних із атакуючим, всі попередньо профінансовані через міксер за кілька годин до зламу. Джастін Сан запропонував «поговорити» з хакером, але це більше схоже на театр.

2026 рік взагалі виявився пекельним для DeFi. До Келпа було ще кілька великих зломів — Resolv Labs втратила близько 80 мільйонів у березні, Drift Protocol — 285 мільйонів 1 квітня (згодом пов’язано з північнокорейськими акторами), потім CoW Swap, Zerion, Rhea Finance і ще десяток менших протоколів. Загальні втрати за 2026 рік уже перевищили 450 мільйонів доларів по приблизно 45 протоколах.

Для інвесторів це означає кілька речей. По-перше, ризик ліквідності реальний навіть на «безпечних» платформах. Коли TVL падає і пули використовуються на 100%, навіть ті, хто не мав доступу до зламаного активу, можуть застрягти і не вивести свої гроші. По-друге, композитивність DeFi ріже і в обидва боки. Та сама взаємозалежність, яка робить систему потужною, робить її найшвидшим каналом зараження. Уразливість у одному протоколі стає системною подією за кілька хвилин.

По-третє, крос-ланцюгова підтримка активів не гарантується. rsETH у 20+ мережах залишається у стані невизначеної підтримки, доки Келп не опублікує перевірену сверку резервів. Будь-хто, хто прийняв wrsETH як заставу, залишається з підвищеним ризиком.

Індустрія відповість обов’язковими вимогами до кількох DVN для мостів, більш строгими стандартами для кредитних протоколів і комплексними аудитами інтеграцій LayerZero. Але урок тут глибший — це не про техніку, це про філософію довіри в DeFi. Неявне припущення було, що ліквідні токени поповнення такі ж безпечні, як базовий ETH, якщо протокол авторитетний. Ця передумова зруйнована.

Зараз багато хто переглядає свою позицію щодо DeFi. Головний з питань безпеки Ledger сказав, що 2026 рік, ймовірно, стане найгіршим роком для зломів і що довіра до DeFi активно руйнується. Це справедливе зауваження. Коли один вибір конфігурації в одному протоколі може зливти 293 мільйони і викликати паніку на мільярди, це змушує задуматися про те, що ми називаємо «безпекою» у цьому просторі.