KuCoin
Войти
language_currency
главная
Блог
Crypto Report
Детали
img

Атака на KelpDAO rsETH: как атака на мост LayerZero на $292 млн привела к образованию $177 млн просроченной задолженности на Aave

2026/04/20 10:30:03

Атака на KelpDAO rsETH: как атака на мост LayerZero на $292 млн привела к образованию $177 млн просроченной задолженности на Aave

Введение

Что происходит, когда единственная точка отказа в кросс-чейн мосту превращается в проблему на $292 миллиона?
 
18 апреля 2026 года криптовалютная индустрия получила ответ в реальном времени. KelpDAO, протокол жидкого рестейкинга, был обесценен на 116 500 rsETH, что составляет примерно 292 миллиона долларов США, из-за уязвимости в его мосте на базе LayerZero. Атака не просто украсть токены — она создала примерно 177 миллионов долларов США плохих долгов, которые теперь находятся на балансе Aave, оставив депозиторов в замешательстве, а сообщество DeFi задаётся вопросом, есть ли у эпохи кросс-чейн финансов фундаментальная проблема доверия.
 

Что такое KelpDAO и rsETH? Понимание рынка жидкого рестейкинга

KelpDAO — это протокол жидкого рестейкинга, построенный на EigenLayer, позволяющий пользователям стейкать свой ETH через протокол и получать rsETH (рестейкнутый ETH) в качестве жидкого токена, представляющего их стейкнутую позицию. Эта концепция — жидкостной рестейкинг — позволяет пользователям сохранять ликвидность, одновременно получая награды за стейкинг, сочетая доходность от нативного стейкинга с гибкостью торгуемого токена.
 
Токен rsETH стал популярным, потому что его можно было использовать в качестве залога в протоколах DeFi. Пользователи стейкают ETH через KelpDAO, получают rsETH, а затем используют этот rsETH для заимствования других активов на нескольких цепочках. Проблема? Эта межцепочечная функциональность зависела от технологии моста LayerZero, а именно от конфигурации DVN (Data Verification Network) 1 из 1, которая оказалась единой точкой отказа.
 
Для новичков в DeFi концепция проста: KelpDAO обещала пользователям получать награды за стейкинг, пока их ETH оставался доступным для использования в других протоколах. Реализация зависела от доверия к инфраструктуре мостов — доверия, которое рухнуло 18 апреля, когда один скомпрометированный валидатор позволил злоумышленнику создать непокрытые rsETH. Злоумышленник не взломал сам блокчейн — он манипулировал системой проверки сообщений, которая сообщает одной цепочке, что токен существует на другой.
 

Эксплуатация 18 апреля 2026 года: как развивалась атака

Эксплуатация разворачивалась в несколько этапов в течение примерно 46 минут, согласно отчетам о инциденте. Начиная с 18:52 UTC 18 апреля 2026 года, злоумышленник воспользовался уязвимостью в конфигурации моста LayerZero KelpDAO — конкретно, системой 1/1 DVN (однократная верификация подписи), которая проверяла межцепочечные сообщения.
 
Вот что произошло технически: 
 
 
Фаза Действие Влияние
1 Злоумышленник выявил уязвимость DVN 1 из 1 Обнаружена единственная точка отказа
2 Создано 116 500 непокрытых rsETH ~18% от оборотного предложения
3 Перенос rsETH через 20+ цепочек Активы застряли по всему миру
4 Депозит rsETH в качестве обеспечения на Aave V3 Взял в долг 126 000 WETH
5 Выполняет выход до аварийной паузы Украдено 292 млн $
 
 
Злоумышленник предоставил украденные rsETH в качестве залога на Aave V3 и занял примерно 126 000 WETH (стоимостью примерно $236 млн на тот момент). Это создало немедленный убыток — Aave теперь владеет rsETH, стоимость которого значительно ниже, чем количество WETH, выданное в кредит.
 
Исследователи безопасности отметили, что между началом подозрительной активности и приостановкой протокола прошло 46 минут. Если бы приостановка произошла раньше, можно было бы предотвратить дополнительные $200 млн потенциально переведенных активов. Задержка оказалась дорогостоящей.
 

Кризис безнадежного долга Aave: $177 млн и продолжается

Последствия эксплуатации создали кризис, намного более серьезный, чем первоначальное хищение. Пул WETH Aave теперь содержит примерно 177 миллионов долларов США в виде просроченной задолженности — злоумышленник занял 126 000 ETH, используя украденный rsETH в качестве залога, и эта задолженность теперь фиксирована в терминах ETH, в то время как стоимость залога резко упала.
 
Математика ясна. Когда атакующий предоставил rsETH в качестве залога, он знал, что он не обеспечен. Aave воспринял его как действительный залог стоимостью примерно $2 500 за rsETH. Атакующий ушел с настоящим WETH. Aave остался с rsETH, который теперь практически не имеет ценности в качестве залога.
 
Правление Aave оперативно отреагировало:
 
  • Приостановлены все новые депозиты rsETH на рынках V3
  • Активированы чрезвычайные полномочия Aave Guardian
  • Начаты обсуждения по управлению по вопросам взыскания просроченной задолженности
  • TVL Aave снизился с $26,4 млрд до $20,7 млрд — снижение на 25% от общей суммы заблокированных средств
 
TVL Aave снизился с $26,4 млрд до $20,7 млрд после хака KelpDao — снижение на 25% от общей суммы заблокированных средств
 
Для держателей WETH на Aave ситуация непростая. Просроченная задолженность означает, что средства депозиторов находятся под угрозой, если восстановление не произойдет. Аав-государство изучает варианты восстановления через протокол Umbrella и казну Aave, но на момент написания этого текста четкого решения не найдено.
 
Злоумышленник занял более 82 600 ETH (приблизительно $195 млн) через Aave, используя похищенные rsETH, создав безнадежный долг, который продолжает расти, поскольку рост цены ETH делает покрытие долга за счет резервов казначейства все более трудным.
 
 

Уязвимости мостов между блокчейнами: системная проблема

Эксплуатация KelpDAO — это не изолированный инцидент — это крупнейший хак DeFi в 2026 году на данный момент, следующий закономерности уязвимостей мостов, которые беспокоят отрасль. От моста Ronin в 2022 году ($625 млн) до Multichain в 2023 году, кросс-чейн мосты последовательно подтверждали себя как самое слабое звено в инфраструктуре DeFi.
 
Фундаментальная проблема заключается в архитектуре. Мосты между цепочками требуют доверия к системам проверки сообщений. Когда мост сообщает цепочке B, что токен существует на цепочке A, это сообщение надежно только настолько, насколько надежен механизм проверки. Атака KelpDAO использовала конфигурацию DVN 1 из 1 — единую точку отказа, которая никогда не должна была быть развернута для протокола, управляющего сотнями миллионов пользовательских средств.
 
Ответы индустрии были неоднозначными, но закономерность очевидна:
 
 
Год Инцидент Потеря Основная причина
2022 Ronin Bridge 625 млн $ Компрометация приватного ключа
2023 Мультисеть 130 млн $ Сбой мультиподписи
2024 Различные мосты Более $400 млн Несколько
2026 KelpDAO 292 млн $ 1 из 1 сбой DVN
 
 
Дело KelpDAO особенно тревожно, поскольку уязвимость была известна в архитектуре LayerZero, но не была устранена на уровне протокола до того, как был нанесен ущерб.
 

Вмешательство и усилия по восстановлению Джастин Сана

В необычном шаге основатель TRON Justin Sun открыто предложил вести переговоры с хакером KelpDAO. Sun опубликовал в X (бывшем Twitter): «Хакер KelpDAO, сколько ты хочешь? Давай просто поговорим. Просто не стоит жертвовать и Aave, и KelpDAO и позволять им погибнуть из-за этой взломки».
 
Джастин Сун прокомментировал хак KelpDao
 
Атакующий занял примерно 126 000 ETH, создав долг, фиксированный в терминах ETH. По мере роста цены ETH увеличивается долговое бремя на казне Aave и протоколе Umbrella. Вмешательство Сана отражало обеспокоенность всей экосистемы — речь шла не только о KelpDAO или Aave, а о предотвращении системного кризиса, который мог бы повлиять на рынки кредитования во всем DeFi.
 
Украденный rsETH был помечен и заморожен на нескольких сетях. Злоумышленник контролирует значительное количество ETH, но не может легко выйти из позиций, не вызвав заморозок и расследований. Это создало тупик — злоумышленник имеет ценность на бумаге, но не может ее реализовать без сотрудничества.
 

Стоит ли инвестировать в AAVE на KuCoin после инцидента с rsETH?

Это вопрос, который волнует каждого инвестора в DeFi после инцидента с KelpDAO. Aave — это крупнейший протокол кредитования в DeFi, и эта атака выявила уязвимости, которые многие считали устранёнными. Вот честная оценка.
 

Причины для осторожности

  • Неопределенность по просроченной задолженности: $177 млн просроченной задолженности находятся на пуле WETH Aave, и сроки возврата неясны
  • Снижение TVL: падение TVL на 25% сигнализирует о снижении доверия
  • Межсетевой риск: Aave использует мосты от третьих сторон для межсетевых активов — любая уязвимость моста создает экспозицию
  • Неопределенность в управлении: Предложения по восстановлению все еще обсуждаются, без гарантированного результата
  • Настроения на рынке: цена AAVE снизилась примерно на 10% из-за учета потенциальных убытков на рынке
 

Причины рассмотреть AAVE

  • Позиция лидера рынка: Несмотря на уязвимость, Aave остаётся ведущим протоколом кредитования
  • Потенциал восстановления: Казна Aave и протокол Umbrella имеют ресурсы для частичного покрытия убытков при правильной реализации
  • Необходимость DeFi: протоколы кредитования являются фундаментальными — спрос существует независимо от проблем отдельных протоколов
  • Историческая устойчивость: Aave пережил предыдущие атаки и рыночные кризисы
  • Ответ по управлению: Быстрая приостановка и активация механизма управления демонстрируют способность реагировать на кризис
 

Краткое резюме оценки рисков

Эксплуатация KelpDAO символизирует новую эпоху рисков в DeFi — уязвимости межцепочечных мостов, затрагивающие не только пользователей моста, но и всех, кто предоставляет залог для подверженных протоколов. Для Aave прямое воздействие составляет примерно 177 млн долларов США в виде просроченной задолженности против 20,7 млрд долларов США оставшейся TVL, что составляет примерно 0,85% от общего объема депозитов под угрозой.
 
Главный вопрос: Вы готовы терпеть такой уровень риска протокола? Если вы делаете депозит в Aave, имейте в виду, что вы подвержены риску выбора обеспечения другими заемщиками. Злоумышленник воспользовался системой обеспечения Aave, а не прямой уязвимостью депозита, но последствия для депозиторов аналогичны — их средства теперь находятся под угрозой во время переговоров о восстановлении.
 

Как торговать AAVE на KuCoin

Для тех, кто решил торговать AAVE на KuCoin после инцидента, вот практическое руководство.
 

Шаг 1: Поймите риск

AAVE испытывает значительную волатильность после инцидента. Цена может измениться на 10–20% в любом направлении в зависимости от новостей о восстановлении. Торгуйте только тем капиталом, который вы можете позволить себе потерять, или держите позицию во время продолжительной волатильности.
 

Шаг 2: Выполните свою торговую операцию

На KuCoin найдите «AAVE/USDT» в интерфейсе торговли. Объёмы торгов высоки в этот период, обеспечивая ликвидные рынки как для рыночных, так и для лимитных ордеров.
 

Шаг 3: Учитывайте размер позиции

Учитывая текущую неопределенность, рассмотрите меньшие размеры позиций, чем обычно. Падение на 10% уже произошло, но сроки восстановления остаются неопределенными. Долларово-усреднение позиций со временем снижает риск выбора момента.
 
 

Заключение

Эксплуатация KelpDAO rsETH стала крупнейшим инцидентом в DeFi в 2026 году — не только из-за кражи на $292 млн, но и из-за того, что она раскрывает уязвимости кросс-чейн инфраструктуры. Один валидатор позволил злоумышленнику создавать непокрытые токены более чем на 20 цепочках, а затем использовать их в качестве залога на Aave.
 
$177 млн просроченной задолженности, теперь находящейся на Aave, подчеркивает системные риски цепочек DeFi. Композиционность протоколов выгодна пользователям, но также создает сценарии сбоев, выходящих за границы протоколов. Мосты между цепочками остаются самым слабым звеном отрасли, пока архитектурные изменения не устранят конфигурации с единой точкой отказа.
 
Для участников DeFi урок заключается не в отказе от пространства — а в более точном понимании рисков. Злоумышленник владеет 292 млн долларов в маркированных активах, которые он не может легко ликвидировать. В случае Aave восстановление происходит через механизмы, финансируемые за счет управления, без гарантии сроков. Протокол уже преодолевал предыдущие трудности, но этот инцидент выявил ограничения, требующие постоянных структурных мер.
 

ЧаВо

Вопрос: Мои ETH безопасны на Aave после эксплуатации KelpDAO?
На пуле WETH Aave существует долг на сумму $177 млн, но это менее 1% от общей TVL ($20,7 млрд). Сообщество активно обсуждает варианты восстановления. Следите за объявлениями по управлению Aave для получения обновлений о сроках и механизмах восстановления.
 
Вопрос: Что произошло с похищенным rsETH?
A: $292M в rsETH остаются заблокированными через цепочки. Злоумышленник не может легко ликвидировать эти активы, не вызвав заморозки. Джастин Сун публично предложил вести переговоры с злоумышленником для возврата средств.
 
Кто несет ответственность за эксплойт KelpDAO?
A: Технический анализ указывает на эксплуатацию конфигурации DVN LayerZero 1 из 1. Это позволило злоумышленнику подделывать межцепочечные сообщения и создавать непокрытые rsETH. Уязвимость находилась в настройке моста KelpDAO, а не в основном протоколе LayerZero.
 
Вопрос: Сможет ли Aave восстановить долг в размере 177 млн долларов?
A: Aave governance исследует восстановление через протокол Umbrella и резервы казначейства. Точного срока пока нет. Злоумышленник занял 126 000 ETH под незащищенный залог — восстановление требует либо сотрудничества хакера, либо финансирования со стороны governance.
 
В: Стоит ли мне избегать DeFi после этой уязвимости?
A: Эксплуатация KelpDAO выявляет риски межцепочечных операций, но не означает, что все DeFi-протоколы небезопасны. Оцените свое воздействие на межцепочечные активы и проверьте конфигурации мостов протоколов, которые вы используете. Диверсификация между протоколами и тщательное управление размером позиции остаются разумными стратегиями.
 
 

Отказ от ответственности: Эта страница была переведена для вашего удобства с использованием технологии искусственного интеллекта (на базе GPT). Для получения наиболее точной информации обратитесь к оригинальной английской версии.