Эксплойт Kelp DAO, произошедший 18 апреля 2026 года, в результате которого злоумышленники выпустили 116 500 необеспеченных токенов rsETH путем отравления одного узла верификатора LayerZero, спровоцировал потери в секторе DeFi на сумму более 600 миллионов долларов за последние недели, а совокупный ущерб по протоколам приближается к 1 миллиарду долларов.
Отложенный эффект теперь виден в блокчейне: общая заблокированная стоимость (TVL) в DeFi упала до самого низкого уровня за двенадцать месяцев, согласно данным DefiLlama, поскольку отток капитала ускоряется в протоколах рестейкинга, кредитования и кроссчейн-мостов.
Основной вопрос здесь не в том, что Kelp DAO потерпел неудачу — он потерпел, архитектурно. Вопрос в том, не выявил ли один неправильно настроенный верификатор системную хрупкость, скрывающуюся под всем стеком кроссчейн DeFi.
- Общие потери DeFi: Приблизительно 1 миллиард долларов за последние недели, из которых более 600 миллионов долларов напрямую связаны с эксплойтом Kelp DAO и его последствиями.
- Масштаб эксплойта Kelp DAO: Выпущено 116 500 необеспеченных rsETH – примерно 18% от циркулирующего предложения – через скомпрометированный узел DVN LayerZero; взлома смарт-контракта не было.
- Влияние на TVL: Общая заблокированная стоимость в DeFi достигла годового минимума после оттока в 13 миллиардов долларов в течение 48 часов после эксплойта.
- Затронутые протоколы: Aave, SparkLend и Fluid заморозили рынки rsETH; TVL Aave упала с 26,4 млрд до примерно 18 млрд долларов – самая крупная потеря для одного протокола.
- Атрибуция: LayerZero назвал северокорейскую группу Lazarus Group – в частности, подразделение TraderTraitor – вероятным виновником; официально пока не подтверждено.
- Ключевые моменты для наблюдения: Предстоящий отчет о расследовании Kelp DAO и решение Aave о плохом долге по скомпрометированному обеспечению rsETH – два сигнала, которые определят, стабилизируется ли заражение или углубится.
Как один узел верификатора обрушил DeFi на 600 миллионов долларов
Сбой был архитектурным, а не фундаментальным, и это различие важно для оценки остальной кроссчейн-инфраструктуры DeFi. Мост rsETH протокола Kelp DAO полагался на один узел Децентрализованной Сети Верификаторов (DVN) для аутентификации сообщений LayerZero – конфигурация 1 из 1, на которую фирма по безопасности Halborn указывала в предыдущих предупреждениях.
Злоумышленники, идентифицированные LayerZero как подгруппа TraderTraitor из Lazarus Group, скомпрометировали два узла RPC, подающие данные этому верификатору, запустили DDoS-атаки на резервные узлы, чтобы форсировать отказ, а затем внедрили мошенническое сообщение, которое выпустило 116 500 rsETH без какого-либо базового обеспечения.
Украденные rsETH быстро переместились. Данные в блокчейне показывают, что злоумышленник обменял их на ETH и Arbitrum, используя займы через Aave, SparkLend и Fluid, при этом Tornado Cash использовался для сокрытия комиссий за газ. Вредоносное ПО самоудалилось с скомпрометированных RPC после атаки, намеренно уничтожив криминалистические журналы. Подробнее о том, как расследование LayerZero атрибутировало атаку, механика последовательности отравления RPC задокументирована подробно.
Потери быстро накапливались. 116 500 выпущенных rsETH посеяли плохой долг на кредитных рынках, которые приняли rsETH в качестве обеспечения без адекватной проверки его обеспечения, создав «эхо-камеру» для поддельных сообщений, как это описала Halborn. Allium, анализируя пробел в верификации после инцидента, отметила, что «инструменты работали так, как задумано. То, как они были настроены, — нет».
Это не мелкая сноска: это означает, что для эксплойта не потребовалась уязвимость нулевого дня, а лишь неправильная конфигурация, о которой было известно и предупреждали заранее.
Архитектуры верификаторов с единой точкой отказа теперь являются документированной поверхностью атаки, и Kelp DAO не будет последним протоколом, использующим такую.
TVL на годовом минимуме: что на самом деле сигнализируют данные об оттоке капитала
Агрегированный TVL DeFi уже сжимался в течение первого квартала 2026 года под макроэкономическим давлением, но эксплойт Kelp DAO ускорил падение до вертикального обвала.
Данные DefiLlama показывают отток TVL в размере 13 миллиардов долларов в течение 48 часов после атаки 18 апреля, темпы, которые застали врасплох такие протоколы, как Compound, не имевшие прямого отношения к rsETH, но все равно столкнувшиеся с оттоком из-за заражения.
Цифры потерь для отдельных протоколов еще более резкие. TVL Aave рухнул с 26,4 миллиарда до примерно 18 миллиардов долларов после того, как протокол заморозил рынки rsETH, падение на 8,45 миллиарда долларов, вызванное тем, что пользователи снижали риски в преддверии возможной кристаллизации плохого долга из скомпрометированных позиций обеспечения.
Команда по рискам Aave теперь моделирует два сценария плохого долга в зависимости от ставок возмещения по необеспеченным rsETH, которые использовались в качестве залога по кредитам до заморозки рынков.
Сжатие TVL создает два различных сценария на будущее. Если оттоки стабилизируются, а Kelp опубликует заслуживающий доверия отчет о расследовании с механизмом компенсации, текущий уровень может оказаться локализованным заражением, неприятным, но ограниченным. Если моделирование плохого долга Aave выявит существенные потери, а график обновления LayerZero с несколькими DVN затянется после второго квартала, следует ожидать второй волны снижения TVL, поскольку искатели доходности полностью переключатся с протоколов рестейкинга на менее взаимосвязанные альтернативы.
Оценки токенов управления уже учитывают первый сценарий как оптимистичный: AAVE потерял более 20% с момента эксплойта, и тезис о восстановлении полностью зависит от того, сможет ли Aave чисто закрыть свою экспозицию rsETH.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ahmed Barakat
