Kelp DAO уязвимость вызвала предупреждение о безопасности межцепочечных мостов: DeFi United собрала 300 миллионов долларов для компенсации держателей rsETH

18 апреля 2026 года 17:35 UTC, злоумышленники использовали уязвимость моста rsETH, основанного на LayerZero межцепочечной инфраструктуре Kelp DAO, чтобы подделать входящие пакеты данных и выпустить 116 500 rsETH, рыночная стоимость которых составляла около 292 миллиона долларов. Расследование Chainalysis и ZachXBT указывало на причастность группы Lazarus из Северной Кореи, которая, используя комбинацию DDoS-атак на внешние узлы и манипуляций внутренними RPC-узлами, обошла систему безопасности сети с одним проверяющим узлом.

Это был не обычный уязвимый смарт-контракт — не было повторных атак, отсутствовали недостатки в правах доступа, не было манипуляций с ценовыми оракулами. Истинный прорыв злоумышленников заключался в следующем: Kelp DAO использовал конфигурацию с одним узлом-уязвимостью 1-of-1 DVN, полагаясь только на единственный проверяющий узел LayerZero Labs. После успешной обмана RPC-узла, читающего данные, мостовой контракт на стороне Ethereum выпустил поддельные сообщения о межцепочечной передаче rsETH, и никакой второй проверяющий узел не смог вмешаться для проверки.

Злоумышленники не продавали украденные rsETH на рынке, а вместо этого заложили около 90 000 rsETH в Aave V3 в качестве залога и взяли кредиты на сумму примерно 190 миллионов долларов в ETH и других активах. Это привело к тому, что Aave понес значительные неплатежи. Общий заблокированный объем (TVL) Aave резко снизился с 26,4 миллиарда до 17,9 миллиарда долларов, а в DeFi за короткий срок было выведено более 13 миллиардов долларов средств.

По состоянию на 29 апреля 2026 года данные рынка Gate показывали, что цена ETH колебалась около 2 300 USD. После атаки цена rsETH опустилась до 1 723 USD, возникла разница примерно в 500 USD с ETH, что отражает панику рынка по поводу оценки rsETH без обеспечения.

Более тревожным является тот факт, что это событие — не единичный случай. В первом квартале 2026 года протоколы DeFi потеряли в результате хакерских атак около 168,6 миллиона долларов; только за 20 дней апреля убытки выросли до 606,2 миллиона долларов — что стало рекордом с февраля 2025 года по месячным потерям.

Почему один проверяющий узел стал смертельной уязвимостью инфраструктуры DeFi?

Инцидент с Kelp DAO выявил давно недооцененную структурную проблему: дисбаланс в настройке межцепочечной безопасности. В архитектуре LayerZero каждое межцепочечное сообщение должно проходить проверку через одну или несколько децентрализованных проверяющих сетей, чтобы достичь целевой цепи. Но мост rsETH в Kelp DAO был настроен только на один проверяющий узел — LayerZero Labs DVN, что фактически создало точку отказа.

Такая конфигурация — не исключение. Чем проще логика межцепочечного моста, тем меньше проверяющих узлов обычно используют для ускорения подтверждения сообщений и снижения затрат на газ. Однако, когда только один узел выполняет функцию «свидетеля», злоумышленник может взломать именно этот канал — будь то RPC-узел, сервер проверяющего узла или операционные права сотрудников — и полностью обойти межцепочечную проверку.

Более того, методы злоумышленников практически невидимы для традиционных средств мониторинга на цепочке. Каждая транзакция выглядит полностью легитимной: сообщение передано, подпись проверена, смарт-контракт на целевой цепи выполнил правильный ответ. Реально манипуляция происходит не со смарт-контрактами, а на уровне оффчейн-проверки, которая решает, одобрить ли межцепочечный запрос.

Такие атаки демонстрируют важный сдвиг в границах безопасности DeFi: уязвимости смарт-контрактов уже не являются единственным источником системных рисков. Внешняя инфраструктура межцепочечных мостов — RPC-узлы, сети проверяющих узлов, сервисы оффчейн-подписей — расширяют поверхность атаки. В 2026 году эта тенденция ускоряется. Совокупные потери от атак Kelp DAO и Drift Protocol в апреле составили 95% от общего ущерба за месяц, что в корне показывает, что злоумышленники систематически расширяют цели — от одного смарт-контракта до всей инфраструктуры DeFi.

Стоит отметить, что за первые 4,5 месяца 2026 года в криптоиндустрии произошло 47 хакерских атак, что на 68% больше по сравнению с 28 за аналогичный период 2025 года.

Как децентрализованное кредитование вызывает цепную реакцию на 13 миллиардов долларов ликвидности?

Суть атаки — не просто кража токенов, а перенос риска через компоненты DeFi, благодаря его композиционной природе. Поддельный rsETH был распространен по 7 адресам и широко использовался как залог в протоколах Aave, Compound и других. Поскольку эти rsETH не имели реальной поддержки активами на цепочке, их использование в качестве залога фактически создавало «пустой чек» для всего кредитного рынка.

Когда эти поддельные залоги использовались для получения реальных ETH, риск стал глубоко связан с механизмами ликвидации, резервами ликвидности и безопасностью депозитов пользователей. Aave столкнулся с двумя видами давления: во-первых, из-за ненадежной стоимости rsETH как залога, риск неплатежей вырос; во-вторых, паника на рынке вызвала массовое изъятие ликвидности, что сузило возможности протокола по управлению неплатежами. После инцидента Совет безопасности Arbitrum заморозил 30 766 ETH, принадлежащие злоумышленнику, что помогло ограничить дальнейшие потери.

Самое важное — этот случай продемонстрировал негативные эффекты «композитности» DeFi: при высокой связности протоколов один системный сбой может быстро перерасти в системный риск всей экосистемы, а цена за это — вклад депозиторов и участников арбитража между протоколами.

Как 303 миллиона долларов в ликвидных пулах создают «безопасный клапан» для DeFi?

К 27 апреля 2026 года фонд спасения, возглавляемый основателем Aave Стани Кулечовым, собрал более 303 миллионов долларов обещанных средств. Источники финансирования — ключевые участники экосистемы Ethereum, реализующие пожертвования, депозиты и кредитные линии.

Конкретно, среди участников — Consensys и основатель Joseph Lubin с обещанием до 30 000 ETH; Mantle с кредитным лимитом 30 000 ETH; предложение DAO Aave на 25 000 ETH; EtherFi с обещанием до 5 000 ETH; Lido с инициативой по управлению 2 500 stETH; Compound с планом выделения 3 000 ETH; Renzo с более чем 10 миллионов долларов из казны; Babylon Foundation с депозитом 3 миллиона USDT; Circle Ventures, покупая токены AAVE; а также Avalanche Foundation, Solana Foundation и孙宇晨 — сумма пока не раскрыта.

Важно отметить, что LayerZero, межцепочечный протокол, после инцидента на пятый день пообещал 10 000 ETH, из которых 5 000 ETH — прямое пожертвование фонду DeFi United, а остальные 5 000 ETH — залог в Aave для усиления ликвидности. Puffer Finance 29 апреля объявил о привлечении средств из казны для участия в программе помощи DeFi United, став одним из ключевых участников.

Общий объем собранных средств превысил 100 360 ETH — крупнейшее в истории DeFi межпротокольное координирование фондов, что свидетельствует о новом уровне отраслевой реакции на системные кризисы.

Как поэтапно реализовать спасение: от мошеннических залогов до последовательной замены ETH?

План помощи DeFi United предполагает поэтапное выполнение, с целью полностью восстановить активную поддержку rsETH и компенсировать неплатежи, оставленные северокорейскими хакерами в протоколах Aave и Compound. Основная идея — по частям возвращать ETH в rsETH, чтобы восстановить его базовую ценность. Перед этим протокол временно скорректирует цену по оракулу для rsETH, чтобы инициировать контролируемую ликвидацию. Полученные в результате токены будут объединены в мультиподписанный кошелек DeFi United, затем обменены на ETH по стандартной процедуре, чтобы покрыть дефицит в кредитных рынках.

Также в проекте заложена реализация с учетом реальных ограничений децентрализованного управления — большая часть обещанных средств должна пройти голосование DAO каждого протокола, что определит сроки и последовательность выполнения.

Этот план не предполагает «выкуп» у злоумышленников, а направлен на восстановление внутренней стоимости залогов, чтобы снизить вторичные негативные эффекты для обычных пользователей и ликвидности протоколов. Идея в том, что если позволить беззалоговым активам продолжать накапливать неплатежи, пострадает вся кредитная основа, а не только отдельный протокол. Поэтому механизм спасения — это активное вмешательство в системные риски, а не моральная оценка действий злоумышленников.

Могут ли конкуренты объединиться для восстановления доверия в DeFi?

Уникальность инициативы DeFi United — в широком участии и высокой степени межсубъектного сотрудничества. Более 14 участников — многие из которых являются прямыми конкурентами в разных сегментах — совместно берут на себя финансовую ответственность в рамках единого механизма. Такой отраслевой консенсус достигается без централизованных команд, через прозрачные обещания на блокчейне, мультиподписные кошельки и поэтапное выполнение.

В традиционном DeFi конкуренция между протоколами сосредоточена на доходности, масштабах ликвидности и мотивации голосований. В нормальных условиях это стимулирует развитие продуктов и повышение эффективности. Но при системных рисках отдельные протоколы зачастую не способны самостоятельно справиться с «инфекционными» неплатежами. Инцидент с Kelp DAO показывает, что глубокая связность межцепочечных мостов и протоколов кредитования делает риск трудно изолируемым — сбои одного могут быстро распространиться на всю систему.

Появление такой формы коллективного спасения — свидетельство того, что DeFi переходит от чисто рыночной конкуренции к модели с элементами коллективной ответственности. Это не чистое альтруистическое действие — среди участников есть и те, кто опасается потери доверия, и те, кто напрямую рискует своими активами. Мотивации разные, но все согласны в конечной цели — сохранить целостность и кредитоспособность всей системы. Такой межорганизационный опыт может стать примером для развития более устойчивых механизмов самовосстановления DeFi.

Итог

Инцидент с кражей 292 миллиона долларов через межцепочечный мост Kelp DAO — крупнейшее за 2026 год событие в области безопасности DeFi, корень которого — структурная уязвимость инфраструктуры с одним проверяющим узлом. Злоумышленники вышли за рамки традиционных уязвимостей смарт-контрактов, сосредоточившись на оффчейн-верификации, что выявило пробелы в межцепочечной безопасности.

Инициатива DeFi United, собравшая более 303 миллионов долларов в виде обещанных средств, стала крупнейшей в истории межпротокольной координацией в DeFi, объединив более 14 протоколов через пожертвования, депозиты и кредитные линии. Это демонстрирует способность отрасли к совместным действиям в условиях системных кризисов. Инцидент подтвердил важность понимания, что с углублением межцепочечной интеграции негативные эффекты могут накапливаться, а своевременное реагирование зависит от эффективности управленческих решений и выполнения обязательств участниками.

Часто задаваемые вопросы

В: Как произошла атака Kelp DAO?

О: Злоумышленники использовали уязвимость в конфигурации с одним проверяющим узлом LayerZero, подделав входящее сообщение. В результате мостовой контракт на Ethereum ошибочно выпустил 116 500 rsETH на сумму около 292 миллиона долларов.

В: Откуда взялись средства для спасения DeFi United?

О: На 27 апреля 2026 года более 303 миллионов долларов обещанных средств поступили от участников, таких как Consensys, Lido, EtherFi, Mantle, Compound, Renzo, Babylon Foundation, LayerZero (10 000 ETH), Puffer Finance и других.

В: Как владельцы rsETH получат компенсацию?

О: План — поэтапно возвращать ETH, создаваемый из обещанных средств, для восстановления стоимости rsETH. В процессе активы будут переводиться в мультиподписанный кошелек, обмениваться на ETH и использоваться для покрытия дефицита в кредитных протоколах.

В: Как это событие повлияет на безопасность DeFi?

О: Оно показывает, что риски в DeFi расширились с уязвимостей смарт-контрактов до уязвимостей оффчейн-инфраструктуры. Требуются новые системы мониторинга межцепочечной целостности и аутентичности сообщений.

В: Какие меры предпримут протоколы для предотвращения подобных атак?

О: Внедрение нескольких независимых проверяющих узлов, создание систем контроля целостности межцепочечных данных и развитие механизмов обмена информацией о рисках между протоколами.