Платформа Kelp DAO, второй по величине протокол плавная пересдача в экосистеме Ethereum стал жертвой взлома. В результате атаки, произошедшей в субботу, 18 апреля 2026 года, в 17:35 UTC, платформа потеряла 116 500 токенов rsETH на сумму около $293 млн. На сегодняшний день это самый крупный инцидент в области кибербезопасности (нарушения) с точки зрения масштаба и потерь – по крайней мере, на данный момент, потому что первые месяцы этого года кажутся очень продуктивныйкогда дело доходит до краж.
В ходе своей атаки анонимный (естественно) злоумышленник воспользовался уязвимостью в мосту. перекрестная цепь на основе LayerZero OFT, вызвав функцию lzReceive в контракте Конечная точкаV2 и заказав перевод резервов, выраженных в токенах rsETH, на контролируемый ею адрес, что платформа скрупулезно выполнила. Транзакция с хешем 0x1ae232da212c45f35c1525f851e4c41d529bf18af862d9ce9fd40bf709db4222 завершилась передачей всего пакета в течение нескольких секунд, а гигантское количество криптовалют исчезло в недрах Интернета.
Токен rsETH, представляющий ETH, переупакованный через EigenLayer, был распространен в более чем 20 сетях, включая Base, Arbitrum, Linea, Blast, Mantle и Scroll. Украденные 116 500 токенов представляли собой примерно 18% от общего количества, доступного в обращении, которое на тот момент составляло 630 000 rsETH. Прикрытием для релиза послужили резервы Mainnet rsETH завернутый на L2, а это значит, что после атаки эти токены остались во многих цепочках без полного покрытия. Неизвестно, что с ними будет теперь (не считая очевидного обвала стоимости в такой ситуации) и что платформа будет делать с возникшими обязательствами.
Взломать, украсть, одолжить, снова украсть
В ходе процедуры вывода злоумышленник использовал микшер Tornado Cash. Через несколько часов после вывода средств из Kelp DAO украденные rsETH на сумму около 250 миллионов долларов были конвертированы в ETH и разбросаны по Ethereum и Arbitrum. Часть средств служила обеспечением кредитов (естественно безвозвратных), взятых по протоколам кредитования: Aave V3, Compound V3 и Euler. Злоумышленник занял более 236 миллионов долларов в WETH, в результате чего на Aave образовался неприемлемый долг в размере 177 миллионов долларов, прежде чем протоколы отреагировали.
Платформа Kelp DAO запустила экстренную процедуру приостановки работы протокола только в 18:21 UTC — через 46 минут после первого слива. В течение этого временного интервала злоумышленник или злоумышленники предприняли две дополнительные попытки вывода средств по 40 000 rsETH каждая (стоимостью примерно 100 миллионов долларов США за попытку); оба были признаны недействительными после активации процедуры остановки. Контракты rsETH были заморожены в основной сети и на всех L2. К сожалению, того, что злоумышленнику уже удалось сделать, оказалось достаточно, чтобы спровоцировать широкую волну последствий.
Платформа «анализирует», а как насчет возвратов…?
Цепная реакция включала девять внешних протоколов. Aave заморозила рынки rsETH на версиях V3 и V4. СпаркЛенд и Флюид сделали то же самое. Lido прекратил вносить депозиты в EarETH (продукт, использующий токен rsETH), хотя сам протокол ставок Lido остался нетронутым. Ethena приостановила свои собственные OFT-мосты LayerZero на шесть часов в качестве широко понимаемой превентивной меры и меры предосторожности.
Этот инцидент является крупнейшим взломом DeFi в этом, 2026 году, превзойдя атаку на Drift Protocol в начале апреля на несколько миллионов долларов с точки зрения прямого финансового ущерба. Ресурс rsETH адаптера Kelp DAO был опустошен, а завернутый эфир остался разбросанным по более чем 20 цепочкам. Kelp DAO подтвердила «подозрительную межсетевую активность» в сообщении от 20:10 UTC. Платформа будет сотрудничать с LayerZero, Unichain, аудиторами и сторонними компаниями по кибербезопасности для анализа причин и способа взлома.
До сих пор не было предоставлено никаких подробностей относительно возможного возмещения или окончательного баланса убытков.
Вы можете безопасно покупать или продавать криптовалюты в сети обменных пунктов FlyingAtom и биткойн-банкоматах.
