Експлуатація KelpDAO: Ризики DeFi перез цінуються

Експлуатація KelpDAO зробила більше, ніж просто розкрила слабкість одного протоколу. Вона змусила ринки DeFi переоцінити якість колатералу, ризик мостів, припущення щодо ліквідності та справжню вартість композиційності.

Експлуатація KelpDAO — це не ще один хак DeFi. Це чіткий приклад того, як крипторинки починають переоцінювати ризики на всьому стеку. У звітах за квітень 2026 року повідомлялося, що нападник вивів 116 500 rsETH, що становить приблизно 18% обігового пропозиції та близько $292 мільйонів, з моста KelpDAO, який працює через LayerZero. Наслідки не обмежилися KelpDAO. Це спричинило аварійне заморожування та стрес у Aave та інших протоколах, які вважали rsETH придатним та інтегрованим забезпеченням.

Ось чому цей інцидент має значення. У власному звіті Kelp за Q1 2026 року зазначалося, що загальний TVL досяг $1,33 млрд, а обіг rsETH на Aave зростав до $1,2 млрд. Kelp також просував спеціальну роль rsETH як колатералу при запуску Aave V4. На момент витоку rsETH більше не був периферійним токеном з дохідністю — він вже став частиною кредитної інфраструктури DeFi.

Коли актив з глибокою інтеграцією виходить з ладу, ринок не просто оцінює втрати. Він відтворює припущення, що лежать в основі цього активу: наскільки безпечним дійсно є забезпечення, наскільки надійним був дизайн моста, наскільки швидко платформи позичання можуть ізольовувати експозицію, і чи надавала композиційність користувачам ефективності за рахунок прихованої хрупкості. Ось справжня історія за експлуатацією KelpDAO.

1. Експлойт був достатньо великим, щоб стати подією на всьому ринку, а не лише проблемою протоколу. Було виведено приблизно 116 500 rsETH, що становить близько 18% обігового пропозиції та приблизно 292 мільйони доларів США.
   
   

2. Атака, схоже, походила з інфраструктури мостів і верифікаторів, а не з масового відмовлення Ethereum або стейкінгу. CoinDesk повідомив, що LayerZero звинуватила налаштування KelpDAO і сказала, що скомпрометовані RPC-ноди відіграли центральну роль.
   
   

3. Інтеграція rsETH у Aave зробила наслідки системними. Kelp повідомив про поставку rsETH у Aave на суму $1,2 млрд і зазначив rsETH як забезпечення у структурі запуску Aave V4.
   
   

4. Це не був перший публічний попередження щодо ризику rsETH. У квітні 2025 року управління Aave зафіксувало обережне заморожування після того, як баг у Kelp rsETH призвів до неочікуваного надмірного випуску.
   
   

5. Ринок зараз призначає більшу вартість складності. Реальне переоцінювання проявляється у заморозках, більш строгому підході до ризиків і зниженій толерантності до багатошарових схем забезпечення.
   
   

Однією з причин, чому експлойт KelpDAO виявився настільки серйозним, є те, що він висвітлив рівень ризику, про який багато користувачів майже не думають у звичайних умовах. CoinDesk повідомив, що LayerZero звинуватила в експлойті налаштування верифікатора KelpDAO, сказавши, що нападники скомпрометували два RPC-ноди та перенавантажили інші. Це означає, що подія стосувалася не просто одного багатого контракту чи одного токена, що втратив довіру. Вона стосувалася того, як інфраструктура під широко інтегрованим активом зазнала невдачі, яку ринок не повністю врахував.

У бул-фазах або навіть фазах стабільного дохідності більшість користувачів зосереджуються на видимій поверхні DeFi-актива. Вони дивляться на TVL, інтеграції, розпізнавання бренду, APY та чи приймають його основні протоколи. Вони не витрачають багато часу на думки про припущення валідаторів, різноманітність перевірщиків мостів або те, як поза ланцюгова інфраструктура нод взаємодіє з довірою на ланцюзі. Експлойт KelpDAO змусив ці приховані залежності вийти на поверхню.

Це має значення, бо once an asset is used as collateral, the quality of the infrastructure behind it becomes inseparable from the quality of the collateral itself. A token is not just a ticker when it sits inside lending markets. It becomes a bundle of technical, liquidity, governance, and operational assumptions. If one of those assumptions breaks, the market begins to question the whole bundle.

Якби rsETH залишався переважно в межах власної екосистеми KelpDAO, експлуатація все одно була б серйозною, але ринок міг би легше її обмежити. Натомість Kelp вже вивів rsETH глибоко до основних DeFi-платформ. У своєму звіті за Q1 2026 року Kelp повідомив, що обсяг rsETH на Aave зростав до $1,2 млрд. У окремому пості Kelp відзначив позицію rsETH як забезпечення у початковій конфігурації Aave V4.

Ця інтеграція перетворила експлойт протоколу на більш широку кредитну подію. Коли токен стає прийнятним забезпеченням, його роль змінюється. Він більше не є просто чимось, що користувачі тримають для отримання дохідності або експозиції за історією. Він стає базовим рівнем для позик, кредитного плеча та управління ліквідністю. Це означає, що ринок повинен довіряти не лише тому, що актив існує, але й тому, що він залишається забезпеченим, викупним та ліквідним у стресових умовах.

З моменту, коли ці припущення послаблюються, починається переоцінка. Кредитори стають менш впевненими. Позичальники відступають. Депозитарії стурбовані навантаженням на пул. Учасники управління закликають до заморожування або зміни параметрів. Ніщо з цього не вимагає, щоб актив знизився до нуля. Достатньо лише достатньої невизначеності, щоб учасники ринку перестали вважати його надійним забезпеченням.

Експлойт 2026 року не виник у повному вакуумі. У квітні 2025 року Aave governance зафіксував обережне заморожування rsETH після того, як описав баг у LRTOracle KelpDAO після оновлення смарт-контракту. Згідно з постом у governance, цей баг призвів до неочікуваного надмірного створення токенів на користь отримувача комісії, контролюваного Kelp, і Aave відповів, рекомендувавши заморозити кілька екземплярів, зупинивши нове надходження та позичання та встановивши співвідношення кредит/вартість на нуль.

Цей раніший інцидент має значення, бо він показує, що ринок вже отримав публічне попередження про те, що інфраструктура, пов’язана з rsETH, не є тривіальною для моделювання. У дописі Aave також зазначалося, що стосовне оновлення було перевірено на безпеку. Це важливий деталь, бо вона розсіює один з найпоширеніших скорочень у аналізі DeFi: ідею, що перевірка на безпеку автоматично означає достатню безпеку. Це не так. Перевірки допомагають, але не виключають ризики, пов’язані з оновленнями, оракулами, інфраструктурою чи відповіддю на управлінські ризики.

У такому розумінні експлуатація KelpDAO створила не лише новий страх, а й підтвердила старий. Вона підсилила уявлення про те, що ця категорія колатералу містить більш складний ризик, ніж багато користувачів, кредиторів і, можливо, навіть деякі учасники управління враховували під час етапів зростання. Коли ринок отримує таке підтвердження, набагато складніше зберегти для цієї категорії активів ту саму премію.

Фраза може звучати абстрактно, але у DeFi вона проявляється дуже практично. Перевірка цін означає, що ринок стає менш щедрим на довіру. Активи, які раніше отримували сприятливе ставлення через швидкий ріст і інтеграцію в основні протоколи, починають зіткнутися з більш строгим наглядом. Постачальники ризику вимагають більш жорстких лімітів, управління швидше реагує заморожуванням, а користувачі стають менш готовими позичати під складне забезпечення або зберігати кошти там, де може поширитися зараження. Це не просто зміна настрою. Це зміна того, як ризик вимірюється, цінується та керується в екосистемі.

Саме це ілюструє минула відповідь Aave на rsETH. Протокол не витрачав час на обговорення теоретичної добрих чи поганих якостей рестейкінгових активів. Він негайно перейшов до обмеження, заморозивши діяльність, зменшивши вартість колатералу, який можна було використовувати, і пріоритезуючи ізоляцію ризиків. Ось що насправді означає переоцінка в DeFi. Вона проявляється спочатку в параметрах, ставленні до колатералу та поведінці користувачів, а не в слоганах чи ринкових нарративах. Це також означає, що TVL починає втрачати свою цінність як скорочення для оцінки безпеки. Власний звіт Kelp показав сильний ріст і значну увагу з боку DeFi лише за кілька днів до експлойту, але адаптація підтвердила попит, а не стійкість.

Це також вказує на те, куди рухається DeFi далі. Експлойт KelpDAO не означає, що ринок закінчив з рідкісним рестейкінгом, продуктивним коллатералом або композиційним позичанням. Ці моделі занадто корисні, щоб зникнути. Але це означає, що ринок змінює те, що він нагороджує. Премія, ймовірно, зміститься на простіші структури коллатералу, сильніший дизайн верифікатора, чіткішу логіку резервів і швидші аварійні механізми. До експлойту глибокі інтеграції Kelp виглядали як імпульс і ефективність. Після експлойту ті самі інтеграції виглядають як ланцюги залежностей. Ось справжній урок: DeFi все ще хоче інновацій, але довіра стає дорожчою, а композиційність більше не розглядається як щось, що не має витрат.

1. Забезпечення більше не оцінюється лише за зростанням.
   Актив може мати сильне впровадження, зростання TVL та важливі інтеграції, але все ще нести серйозні приховані ризики. Експлойт KelpDAO показав, що ринкова популярність не означає автоматично, що забезпечення достатньо міцне, щоб залишатися довіреним під тиском.
   
   

2. Ризик прихованої інфраструктури зараз має більше значення.
   Забезпечення — це не тільки сам токен. Воно також залежить від дизайну моста, налаштування верифікатора, структури резерву та шляху викупу, що стоїть за ним. Коли ці рівні виходять з ладу, ринок починає переоцінювати, чи був актив справді таким безпечним, як здавалося.
   
   

3. Стресові умови розкривають справжню якість забезпечення.
   Справжнім тестом забезпечення є не його поведінка на спокійних ринках, а те, як він веде себе під час виведень, волатильності та технічних відмов. Якщо довіра швидко зникає під час стресової події, актив втрачає цінність як придатне забезпечення, навіть якщо він продовжує торгуватися на ринку.
   
   

4. Протоколи позичання можуть стати більш вибірковими.
   Після таких інцидентів децентралізовані фінансові протоколи, ймовірно, уважніше перевірятимуть, які активи вони приймають, і який рівень переваг отримують. Це може означати нижчі ліміти, строгіші параметри забезпечення та швидше реагування у разі виникнення ризиків.
   
   

5. Ринок може нагороджувати простіші дизайни.
   Складні, високо інтегровані активи можуть бути корисними, але також створюють більше точок відмови. Експлуатація KelpDAO може спрямувати DeFi у бік цінування простіших структур забезпечення, більшої прозорості резервів та сильніших контрольних механізмів ризиків замість чистих нарративів про зростання.
   
   

6. Якість колатералу стає конкурентною перевагою.
   У майбутньому протоколи можуть здобувати довіру не лише шляхом привернення депозитів, а й шляхом доведення того, що їхні активи залишаються надійними під час стресу на ринках. У такій обстановці більш міцний дизайн колатералу може стати одним із найважливіших сигналів довгострокової вірогідності.

1. Що таке витік KelpDAO?

Експлуатація KelpDAO була серйозним інцидентом безпеки DeFi, пов’язаним із rsETH — рідкісним токеном рестейкінгу KelpDAO. Подія привернула увагу, оскільки її не сприйняли як ізольовану невдачу протоколу. Натомість вона викликала ширші занепокоєння щодо дизайну мостів, якості колатералу та прихованих інфраструктурних ризиків, що стоять за інтегрованими активами DeFi.

2. Чому експлуатація KelpDAO була настільки важливою для DeFi?

Це малило значення, бо rsETH вже був глибоко пов’язаний з іншими системами DeFi, зокрема ринками позичання та забезпечення. Коли актив широко використовується в різних протоколах, відмова не залишається локальною. Вона може вплинути на ліквідність, довіру до позичання, поведінку позичальників та ринкову ціну пов’язаних активів.

3. Що означає «ризики DeFi перецінуються»?

Це означає, що ринок стає менш готовим автоматично вважати складні, дохідні, високо інтегровані активи низькоризикованими. Після подій, таких як експлойт KelpDAO, користувачі та протоколи починають надавати більше ваги ризику мостів, ризику інфраструктури, ризику викупу та ризику поширення.

4. Як вплинув експлойт KelpDAO на ринки гарантій?

Експлойт підвищив сумніви щодо надійності rsETH як забезпечення. У DeFi забезпечення не повинно повністю зруйнуватися, щоб завдати шкоди. Досить, щоб воно стало достатньо невизначеним, щоб кредитори, позичальники та учасники управління почали зменшувати експозицію, звужувати параметри ризику або перестали використовувати його з тією ж впевненістю, що й раніше.

5. Чому rsETH важливий у цій історії?

rsETH був не просто токеном, що знаходився всередині одного протоколу. Він вже став частиною ширших DeFi-систем позичання та кредитного плеча. Це робило його важливим, оскільки згасання довіри до rsETH могло поширитися на інші ринки, які залежали від нього як забезпечення та ліквідності.

6. Це означає, що токени рідкісного рестейкінгу небезпечні?

Не обов’язково. Головний урок полягає не в тому, що всі ліквідні рестейкінг-токени небезпечні. Урок у тому, що ринок, ймовірно, тепер буде оцінювати їх більш уважно. Проектування протоколу, прозорість резервів, налаштування перевіряючих, аварійні механізми та ризики інтеграції — все це тепер має більше значення після такого витоку.

7. Чому аудити недостатні у таких випадках?

Аудити можуть зменшити деякі технічні ризики, але не видаляють усі вразливості. Дефі-активи, які залежать від оновлень, мостів або багатошарової інфраструктури, все ще несуть операційні та системні ризики. Протокол може бути аудитований і все ще стикнутися з серйозними проблемами, якщо одна критична припущення не витримає навантаження.

8. Який найважливіший висновок з експлойту KelpDAO?

Найважливіший висновок полягає в тому, що DeFi дозріває у своєму підході до оцінки ризиків. Зростання, TVL та інтеграції більше не є достатніми для забезпечення довіри. Ринки починають винагороджувати стійкість, прозорість та сильніші механізми контролю ризиків замість чистої натхненності або ефективності капіталу.

 

Відмова від відповідальності: Інформація, наведена в цій статті, надається виключно в загальних цілях і не є інвестиційною, фінансовою порадою або рекомендацією купувати, продавати або утримувати будь-які цифрові активи. Криптоактиви пов’язані з ризиком і можуть бути не підходящими для всіх користувачів. Читачам слід самостійно перевірити всю інформацію, оцінити власний рівень схильності до ризику та звернутися до кваліфікованих фахівців, якщо це доречно, перед прийняттям будь-яких фінансових рішень.

Відмова від відповідальності: Для вашої зручності цю сторінку було перекладено за допомогою технології ШІ (на базі GPT). Для отримання найточнішої інформації дивіться оригінальну англійську версію.