18 квітня 2026 року міжланцюговий міст rsETH від KelpDAO на базі LayerZero зазнав масштабної атаки. За 46 хвилин зловмисник викрав 116 500 rsETH — це приблизно 292 мільйони доларів США, що робить цю подію найбільшим інцидентом безпеки у DeFi за рік. На відміну від традиційних експлойтів смартконтрактів, ця атака виникла через системний збій у моделі довіри між ланцюгами. KelpDAO використовував міст LayerZero OFT, який забезпечує безпеку через DVN (децентралізовану мережу верифікації). Проте KelpDAO налаштував схему DVN 1/1 — тобто підпис лише одного вузла був достатній для підтвердження міжланцюгових повідомлень як «автентичних». Для порівняння, офіційна документація LayerZero за замовчуванням рекомендує мультипідпис 2/2. Зловмисник скористався однонодовою конфігурацією через соціальну інженерію, скомпрометував вузол і підробив міжланцюгові повідомлення, щоб «створити токени з повітря», випустивши rsETH у мережі Ethereum Mainnet без жодного фактичного забезпечення активами.
Розслідування LayerZero після інциденту попередньо пов’язало атаку з підгрупою TraderTraitor із угрупування Lazarus з Північної Кореї. Зловмисник забруднив downstream RPC-вузли під DVN і використав DDoS-атаки для активації резервного режиму, змусивши валідатор підтвердити, що «транзакції не було», перш ніж впровадити підроблені повідомлення. Такий технічний шлях виявляє глибшу структурну проблему: якщо безпека міжланцюгового мосту повністю залежить від одного вузла-валідатора, цей вузол стає «ахіллесовою п’ятою» системи.
Як викрадений rsETH створив величезний дефіцит на Aave
Зловмисник вніс новостворений rsETH як заставу на платформи кредитування, такі як Aave, і взяв під нього справжні активи. Оскільки цей rsETH не мав легітимного забезпечення, такі кредити створили значний ризик дефіциту для кредиторів. Аналіз блокчейну показує, що на L2-розгортаннях Aave приблизно 359 мільйонів доларів США у rsETH (за цінами ораклів) було використано як заставу. За повного використання цих позицій теоретичний дефіцит міг би сягнути близько 341 мільйона доларів — це повністю поза межами покриття протоколу Umbrella.
Це не була помилка у коді смартконтракту Aave, а системна ланцюгова реакція через «помилкову довіру до заставних активів». Коли токени без легітимного забезпечення потрапили у пули кредитування, всі користувачі цих пулів опинилися під загрозою потенційної неплатоспроможності. Композабельність DeFi тут виступає як «палка з двома кінцями»: вона забезпечує ефективний рух капіталу між протоколами, але втрата довіри до одного елемента може миттєво поширитися на всю екосистему.
Як паніка спричинила падіння TVL на 13,2 мільярда доларів
Страх швидко переріс у масовий відтік капіталу. За даними DefiLlama, загальна заблокована вартість DeFi (TVL) впала з 99,497 мільярда до 86,286 мільярда доларів за останні 48 годин, що означає зникнення близько 13,2 мільярда. Лише на Aave було виведено 8,45 мільярда доларів, і TVL впав до 17,947 мільярда. Станом на 20 квітня TVL DeFi знизився ще більше — приблизно до 82,4 мільярда, що на 25% менше, ніж 110 мільярдів на початку 2026 року.
Виведення коштів зосереджувалося у протоколах кредитування, рестейкінгу та прибуткових платформах, причому такі сервіси, як Euler і Sentora, втратили двозначні відсотки TVL. Цікаво, що ціни токенів залишалися відносно стабільними: AAVE знизився лише на 2,5% за останню добу, а UNI і LINK — менше ніж на 1%. Така різниця між відпливом капіталу і динамікою цін свідчить, що ринок ще не повністю врахував довгострокові наслідки події: виведення коштів відображає паніку з ліквідністю, а власники токенів, можливо, ще очікують ясності щодо вирішення проблеми дефіциту.
Що означає замороження 71 мільйона доларів Радою безпеки Arbitrum
21 квітня 2026 року Рада безпеки Arbitrum здійснила екстрені заходи: 30 766 ETH (приблизно 71 мільйон доларів, близько чверті викраденої суми) було переведено з гаманця зловмисника на проміжний гаманець під контролем управління і заморожено. Це відбулося через транзакцію системного рівня ArbitrumUnsignedTxType — метод, який не може бути підписаний звичайними EOA і може впроваджуватися лише Радою безпеки через ArbOS.
Ця інтервенція подала два важливі сигнали. По-перше, вона продемонструвала здатність рівня управління L2 діяти під час надзвичайних ситуацій — це важливий етап для дорожньої карти масштабування Layer 2. По-друге, подібне втручання в кошти користувачів є надзвичайно рідкісним і суперечливим для ончейн-екосистем, адже воно вводить дискреційний контроль у мережу, розроблену як permissionless. Arbitrum наголосив, що дії базувалися на підтвердженні особи зловмисника правоохоронними органами і не вплинули на звичайних користувачів чи застосунки. Проте цей прецедент піднімає глибше питання: коли «permissionless» мережі стикаються з «державними зловмисниками», де мають проходити межі децентралізованого управління?
Чому засновник Curve публічно попередив про неізольовані моделі кредитування
Засновник Curve Finance Міхаїл Єгоров опублікував заяву після інциденту, в якій підкреслив ризики поточної моделі «неізольованого кредитування», що проявилися під час кризи дефіциту KelpDAO. Він зазначив, що хоча така модель забезпечує високу масштабованість, вона супроводжується підвищеним ризиком і вимагає суворіших рамок управління активами. Єгоров також наголосив, що багато нещодавніх інцидентів безпеки, яких можна було уникнути, виникли через централізовані точки відмови, і що профілактика краща за реагування після інциденту. Він закликав Ethereum Foundation і Solana Foundation очолити створення уніфікованих стандартів безпеки DeFi.
Єгоров окремо вказав на повністю ізольовані або гібридні моделі кредитування як альтернативу, а також припустив, що запланована архітектура «hub and spoke» у Aave v4 може підвищити безпеку кредитних протоколів. Його аналіз стосується основної дилеми DeFi: вибору між ефективністю капіталу та ізоляцією ризиків. Неізольовані моделі дозволяють вільний рух капіталу між протоколами, підвищуючи ефективність, але також дають змогу кризі довіри до одного активу швидко поширюватися на всю мережу кредитування. По суті, Єгоров запитує: чи настав момент, коли для стабільності системи DeFi потрібно пожертвувати частиною ефективності?
Три сценарії вирішення дефіциту Aave та їх структурна ціна
Засновник DeFiLlama 0xngmi окреслив три можливі шляхи для KelpDAO щодо подолання наслідків, кожен із чіткими компромісами.
Варіант 1: Соціалізувати збитки, зменшивши баланси всіх власників rsETH на 18,5%. Якщо так вчинити з усією rsETH-заставою на Aave, це створить близько 216 мільйонів доларів дефіциту. Протокол Umbrella покриє 55 мільйонів, казна Aave — 85 мільйонів, залишивши дефіцит у 76 мільйонів. Такий підхід розподіляє збитки між усіма користувачами, але підриває довіру до безпеки активів протоколу.
Варіант 2: Захистити лише rsETH у мережі Ethereum Mainnet, вважаючи всі rsETH на L2 неплатоспроможними. На L2 Aave rsETH-застава оцінюється у 359 мільйонів доларів; за повного використання дефіцит може сягнути 341 мільйона, і жоден з них не покривається Umbrella. Aave доведеться покладатися на власну казну чи позики для часткового порятунку ринку і, можливо, відмовитися від найбільш постраждалих ланцюгів — Arbitrum, Mantle та Base — що призведе до краху ринків там. Такий варіант зменшує прямий вплив на основну мережу Aave, але серйозно шкодить репутації всієї L2-екосистеми.
Варіант 3: Відновити розподіл активів за знімком до атаки, повністю компенсуючи лише адреси, які володіли rsETH на момент інциденту. Пізніші покупці чи одержувачі нестимуть збитки. Навіть після покриття Umbrella залишиться близько 91 мільйона доларів збитків. Проте через швидке переміщення коштів після атаки та пулову природу DeFi-протоколів технічно майже неможливо розрізнити різні партії внесених коштів, тому реалізувати цей варіант надзвичайно складно.
Чому квітень 2026 року став переломним для безпеки DeFi
Інцидент із KelpDAO не був поодиноким. Лише за перші 20 днів квітня 2026 року криптопротоколи втратили понад 606 мільйонів доларів через атаки — це найгірший місячний показник з лютого 2025 року. 1 квітня Drift Protocol, найбільша біржа перпетуалів Solana, втратила 285 мільйонів лише за 12 хвилин. Разом KelpDAO і Drift становили близько 95% втрат цього місяця.
Дані річного звіту SlowMist за 2025 рік дають ширший контекст: у 2025 році сталося 200 інцидентів безпеки, що призвели до втрат на 2,935 мільярда доларів. Хоча кількість інцидентів зменшилася на 51% порівняно з 2024 роком, загальні втрати зросли приблизно на 46%. Найчастіше ціллю були DeFi-проєкти — 126 інцидентів (63% від загальної кількості) і 649 мільйонів доларів втрат.
У сукупності ці цифри вказують на чітку тенденцію: зловмисники переходять від «кількості» до «якості» — менше інцидентів, але більші одиничні втрати і складніші методи атак. У випадку KelpDAO зловмисник використав припущення про довіру на рівні конфігурації, а не вразливість у коді. Така ескалація векторів атак означає, що традиційних аудитів безпеки вже недостатньо для протидії сучасним загрозам.
Висновок
Міжланцюговий експлойт KelpDAO — найзначніший шок для безпеки DeFi у 2026 році. Він показав фундаментальну крихкість однонодових архітектур валідаторів у моделях міжланцюгової довіри, продемонстрував, як кризи активів можуть швидко поширюватися через композабельну екосистему DeFi, та змістив ризики на ширший ринок кредитування через дефіцит Aave. Екстрене втручання Ради безпеки Arbitrum створило обмежений шлях для повернення активів, але також спричинило глибші дискусії щодо меж децентралізованого управління.
Попередження Єгорова про неізольоване кредитування і його заклик до галузевих стандартів безпеки відображають ключовий момент структурної переоцінки для DeFi. Напруга між ефективністю капіталу та системною безпекою ніколи не була такою гострою — логіка «композабельних Lego», яка забезпечила стрімке зростання DeFi, зараз проходить стрес-тест на тлі втрати довіри. Серія резонансних інцидентів безпеки у квітні 2026 року подає чіткий сигнал: якщо DeFi-протоколи не створять механізмів ізоляції системних ризиків, кожен «уникнений» експлойт і далі руйнуватиме фундамент довгострокової довіри до галузі.
Часті запитання (FAQ)
Питання: Які були прямі фінансові втрати від атаки на KelpDAO?
Зловмисник викрав 116 500 rsETH, а збитки оцінюються у 292 мільйони доларів за ринковими цінами на момент інциденту. Рада безпеки Arbitrum заморозила близько 71 мільйона доларів викрадених активів, що становить приблизно чверть загальної суми.
Питання: Який поточний максимальний ризик дефіциту на Aave?
Залежно від стратегії вирішення, дефіцит Aave може коливатися від 123,7 до 341 мільйона доларів. Якщо втрати обмежити лише L2, дефіцит може сягнути 341 мільйона, який не покривається Umbrella.
Питання: Чим ця атака відрізняється від інших інцидентів безпеки DeFi?
Причиною стала не вразливість коду смартконтракту, а проблема конфігурації міжланцюгового мосту — використання KelpDAO схеми валідації DVN 1/1 означало, що компрометація одного валідатора призвела до повного краху міжланцюгової довіри.
Питання: Які конкретні рекомендації дав Єгоров із Curve?
Єгоров закликав до уніфікованих стандартів безпеки DeFi, запропонував зменшити кількість точок відмови, виступив за механізми розподілу довіри у випадках необхідності централізованих рішень і закликав Ethereum та Solana Foundation очолити розробку принципів безпеки та стандартів верифікації.
Питання: Що спричинило різке падіння TVL у DeFi?
Два основні чинники: протоколи проактивно заморожували уражені ринки для контролю ризиків, а також масові виведення коштів користувачами через паніку. Разом це призвело до двозначних відсоткових відтоків із кредитних, рестейкінгових і прибуткових протоколів, а загальний TVL впав із приблизно 110 мільярдів на початку року до близько 82,4 мільярда.
Питання: Які довгострокові наслідки цього інциденту для DeFi?
Подія виявила структурні недоліки неізольованих моделей кредитування та архітектур міжланцюгової довіри, і може змусити галузь надавати перевагу ізоляції системних ризиків над максимальною ефективністю капіталу. Такі розробки, як модель «hub and spoke» у Aave v4 і дискусії щодо уніфікованих стандартів безпеки, згадані Єгоровим, можуть стати ключовими напрямками розвитку у майбутньому.
