291 миллионов долларов исчезли за 46 минут, потрясая всю систему DeFi: Aave не может выплачивать средства. В прошлую субботу вечером экраны нескольких аналитиков в режиме реального времени одновременно показали, что 116 500 rsETH, стоимость которых составляла около 291 миллиона долларов (примерно 9,3 миллиарда бат), исчезли из моста Kelp DAO за 46 минут. Но ущерб только начался: в течение следующих 24 часов волна удара не остановилась на Kelp, а распространилась на Aave — крупнейшую платформу кредитования в DeFi — и привела к оттоку более 6,2 миллиарда долларов (около 210,8 миллиарда бат), что сделало этот инцидент «крупнейшим хаком DeFi в 2026 году», обойдя случай с Drift Protocol, произошедший в начале месяца. 📌 Общая картина события 🔹 Подозреваемый: Кошелек, пополненный через Tornado Cash (инструмент смешивания транзакций для скрытия происхождения средств), был подготовлен за 10 часов до атаки. 🔹 Основная жертва: Kelp DAO — протокол Liquid Restaking на ethereum, выпускающий токен rsETH как «квитанцию» для пользователей, вносящих ETH для получения двойной доходности. 🔹 Вторичные жертвы: Aave, Compound и Euler — все они принимали rsETH в качестве залога. Почему мост, построенный на глобальной инфраструктуре LayerZero и удерживающий резервы rsETH на более чем 20 цепочках, был взломан всего одной «фальшивой командой»? И почему уязвимость в проекте Restaking привела к тому, что Aave с TVL более 26 миллиардов долларов столкнулся с полной блокировкой вывода средств? 1) За 10 часов до субботы — подготовка: средства были внесены в кошелек через Tornado Cash для оплаты газа и маскировки следов. 2) 17:35 UTC в субботу — взлом моста: хакер отправил «фальшивое сообщение» (phantom message), обманув LayerZero EndpointV2 и заставив его поверить, что команда пришла с другой цепочки. В результате мост Kelp выпустил 116 500 rsETH на сети Ethereum, не уменьшив соответствующее количество rsETH на исходной цепочке — как это предусмотрено стандартной логикой. Это стало «единственной точкой отказа» (Single Point of Failure). 3) Немедленно после этого — превращение в безнадежный долг: хакер не ушел с rsETH, а использовал их в качестве залога на Aave V3, V4, Compound V3 и Euler для заимствования WETH, создав то, что Francesco Andreoli из Consensys/MetaMask назвал «массивным безнадежным долгом» (massive bad debt) на сумму более 236 миллионов долларов. 4) 18:21 UTC — Kelp активировал аварийный протокол: через 46 минут после взлома моста Emergency Multisig Kelp DAO остановил смарт-контракты rsETH на ethereum mainnet и всех Layer-2. 5) В субботу вечером — он-чейн детективы активировались: ZachXBT опубликовал общественное предупреждение, и команды безопасности всего DeFi-сообщества начали одновременно отслеживать событие. 6) Сразу после этого — блокировка Aave: Aave объявил о заморозке рынка rsETH как на V3, так и на V4. За ним последовали SparkLend, Fluid и Lido Earn, которые постепенно приостановили все продукты, связанные с rsETH. 7) В воскресенье утром — Aave полностью заблокирован: Utilization Rate (коэффициент использования ликвидности) основного кредитного пула Aave достиг 100%, что означает, что у пользователей, ранее внесших ETH и Wrapped ETH, осталось крайне мало или вообще не осталось ликвидности для вывода. 8) В воскресенье днем — отток превратился в волну: пользователи, не сумевшие вывести средства, начали брать стейблкоины под залог своих депозитов, что еще больше усугубило дефицит ликвидности. По данным 0xngmi, соучредителя DeFiLlama, чистый отток средств из Aave составил 6,2 миллиарда долларов — минус 23% от TVL за один день.. 9) Цена монеты начала резко падать: AAVE упала на 16% до 90,13 доллара, ETH упала на 2% до 2 300 долларов (около 73 800 бат). . 10) Justin Sun присоединился к обсуждению: основатель Tron опубликовал сообщение в X, предложив прямые переговоры с хакером, сославшись на то, что «в конечном итоге украденные деньги все равно останутся бесполезными, и не стоит позволять Aave и Kelp DAO погибнуть вместе». . 11) Попытки продолжения атаки были заблокированы: хакер пытался извлечь еще два раза rsETH, в общей сложности более 40 000 монет (около 100 миллионов долларов), но был немедленно заблокирован после того, как Kelp приостановил смарт-контракт. . 12) Заявление от Kelp DAO и LayerZero: обе стороны проводят совместный анализ корневой причины (RCA — анализ истинной причины) вместе с Unichain, аудиторами и SEAL Org — организацией по реагированию на инциденты кибербезопасности в блокчейне. . 🔍 Последствия, отражающие структуру DeFi . Этот инцидент раскрыл две крупные уязвимости одновременно: во-первых, риск cross-chain мостов — даже если код на одной цепочке безопасен, при передаче данных между цепочками возникает критическая уязвимость в системе подтверждения сообщений, что мы уже видели в Ronin, Wormhole и Nomad; во-вторых, «зависимость от одного и того же типа обеспечения» между несколькими протоколами: когда rsETH столкнулся с проблемами, Aave, Compound и Euler сразу оказались в ловушке, хотя сами смарт-контракты этих протоколов напрямую не были взломаны. . Прямой ущерб Kelp DAO составляет 292 миллиона долларов, из которых около 250 миллионов уже были конвертированы в ETH. Потери исключительно со стороны Aave составляют около 196 миллионов долларов, что может превысить покрытие Umbrella Reserve (резервного фонда компенсации Aave), что означает, что держатели stkAAVE (AAVE, стейкнутые для обеспечения системы) могут вынуждены поглотить оставшийся ущерб. . Вопрос для размышления: если бы сегодня вы были тем, кто внес ETH в Aave и не может вывести средства, просто потому что кто-то поместил поддельные активы в тот же пул — продолжили бы вы доверять DeFi с cross-chain-мостами? . #KelpDAO #Aave #DeFi #rsETH #LayerZero