За выходные был осуществлен эксплойт на сумму около 292 миллионов долларов США, что потрясло криптоиндустрию, раскрыв уязвимости в инфраструктуре децентрализованных финансов (DeFi) и вызвав опасения по поводу цепной реакции в протоколах кредитования.
Хотя расследование продолжается, предварительный анализ указывает, что атака была направлена на токен rsETH от Kelp — версию эфира (ETH) с доходностью — и механизм, используемый для перемещения активов между блокчейнами.
Атакующий, по всей видимости, манипулировал этой системой, чтобы создать крупные объемы токенов без должного обеспечения, а затем быстро использовал их в качестве залога для получения займов и изъятия реальных активов с рынков кредитования, в основном с Aave AAVE$90.11, крупнейшего децентрализованного криптовалютного кредитора.
Инцидент стал последним ударом по DeFi, произошедшим всего через несколько недель после хакерской атаки на протокол Drift, основанный на Solana, на сумму $285 млн, что еще больше подорвало доверие инвесторов к криптовалютному сектору стоимостью почти $90 млрд.
На высоком уровне эксплуатация была направлена на компонент моста LayerZero — элемент инфраструктуры, позволяющий перемещать активы между различными блокчейнами, сообщил CoinDesk в заметке Чарльз Гильеме, технический директор производителя аппаратных кошельков Ledger.
Мосты обычно работают путем блокировки активов в одной цепочке и чеканки эквивалентных токенов в другой. Этот процесс зависит от доверенной сущности — часто называемой оракулом или валидатором — для подтверждения депозитов.
В данном случае Kelp эффективно выступал в роли этого проверяющего. Согласно Гильеме, система полагалась на настройку с одним подписывающим, что означало, что только один участник мог утверждать любые транзакции.
«Кажется, злоумышленнику удалось подписать сообщение… что позволило ему создать большую сумму rsETH», — сказал он. Он добавил, что остается неясным, как был получен этот доступ.
Майкл Егоров, основатель Curve Finance, указал на ту же уязвимость в конфигурации системы.
События могут произойти, когда вы доверяете одной единственной стороне — кем бы она ни была.
Эта настройка позволила злоумышленнику эффективно создавать непокрытые токены, хотя соответствующие активы не были заблокированы на исходной цепочке.
После создания токены были быстро задействованы. «Они немедленно внесли их в протоколы кредитования, в основном Aave, чтобы взять в долг настоящий ETH под них», — объяснил Гильеме.
Эта маневра перевела проблему из единичного эксплойта в более широкий рыночный вопрос. Платформы DeFi-кредитования теперь вынуждены удерживать залог, который может быть сложно раскрутить, в то время как ценные и ликвидные активы уже изъяты.
«Aave осталась с rsETH, который нельзя реально продать, и максимальным заимствованным ETH, поэтому никто не может вывести ETH», — сказал Эгоров из Curve.
В результате, Aave и другие протоколы кредитования могут иметь сотни миллионов долларов в сомнительном залоге и просроченной задолженности, предупредил он, вызвав опасения по поводу потенциальной динамики «банковского» побега, когда пользователи спешат вывести средства.
Aave зафиксировала падение активов на протоколе примерно на 6 миллиардов долларов, поскольку пользователи выводили свои средства после инцидента. Токен, связанный с протоколом, снизился примерно на 15% за последние 24 часа торгов.
Остаются ключевые вопросы о том, как была скомпрометирована нода. Система полагалась на официальную ноду LayerZero, что вызывает неопределенность, была ли она взломана, неправильно настроена или введена в заблуждение.
«Был ли он взломан? Был ли он обманут? Мы не знаем», — сказал Егоров.
Личность нападавшего также неизвестна, хотя Жильме отметила, что масштаб атаки указывает на сложного злоумышленника.
«Очевидно, не какие-нибудь скрипт-кидди», — сказал он.
За пределами немедленных потерь этот инцидент служит еще одним напоминанием о том, что по мере роста взаимосвязанности DeFi сбои на одном уровне могут быстро распространяться по всей системе.
Егоров утверждал, что неизолированные модели кредитования, при которых активы делят риски между пулов, усиливают влияние таких событий.
Он также указал на недостатки в процессе подключения новых активов к платформам кредитования, отметив, что такие конфигурации, как 1 из 1 верификаторов Kelp, должны были быть выявлены раньше.
Однако Егоров отметил, что есть и положительная сторона. «Криптовалюта — это суровая среда, в которой ни один банк не выжил — однако мы с этим работаем», — сказал он. «Я считаю, что DeFi извлечет уроки из этого инцидента и станет сильнее, чем раньше».
Тем не менее, даже такие инциденты, как этот, ведут к обновлениям и переосмыслению протоколов, но также подрывают доверие инвесторов к более широкому сектору DeFi.
«В целом, доверие к DeFi-протоколам подрывает подобное событие», — сказал Гийоме.
И 2026 год, скорее всего, снова станет худшим годом по количеству хаков, — добавил он.
Читать далее: 'DeFi мертв': криптосообщество в панике после крупнейшего взлома этого года, выявившего риски заражения