292 миллиона $ исчезли за 46 минут: внутри взлома Kelp DAO DeFi

Краткое резюме

• Мост Kelp DAO на базе LayerZero был взломан в субботу, что привело к выводу 116 500 rsETH стоимостью ~292 миллиона $
• Злоумышленник обманул уровень обмена сообщениями LayerZero, заставив его отправить средства на контролируемый злоумышленником адрес
• Около 250 миллионов $ украденных средств были конвертированы в ETH; использовался адрес, финансируемый через Tornado Cash
• Как минимум девять протоколов заморозили рынки rsETH, включая Aave, SparkLend и Fluid
• Это теперь крупнейший взлом DeFi в 2026 году, превзошедший взлом Drift Protocol от 1 апреля

Злоумышленник вывел 116 500 rsETH с моста Kelp DAO на базе LayerZero в субботу в 17:35 UTC, похитив около 292 миллионов $ в криптоактивах.

Украденная сумма составляет около 18% от общего циркулирующего предложения rsETH в размере 630 000 токенов, согласно данным CoinGecko.

Kelp DAO — это протокол ликвидного рестейкинга. Он принимает внесенные пользователями ETH, направляет их через EigenLayer для получения дополнительной доходности и выпускает rsETH в качестве торгуемого токена-квитанции.

Злоумышленник обманул кроссчейн-уровень обмена сообщениями LayerZero, заставив его поверить, что действительная инструкция поступила из другой сети. Это привело к тому, что мост Kelp перевел средства на кошелек, контролируемый злоумышленником.

Аварийный мультиподпись Kelp приостановил основные контракты протокола через 46 минут после вывода средств, в 18:21 UTC. Две последующие попытки вывести еще 40 000 rsETH — стоимостью около 100 миллионов $ — были заблокированы.

Украденные средства были переведены через адрес, финансируемый Tornado Cash. Около 250 миллионов $ украденного rsETH уже были конвертированы в ETH, согласно компании по безопасности блокчейна Cyvers.

Последствия распространяются по DeFi

Взломанный мост содержал резерв, обеспечивающий завернутый rsETH на более чем 20 блокчейнах, включая Base, Arbitrum, Linea, Blast и Scroll.

С исчезновением этого резерва держатели rsETH в сетях второго уровня теперь сталкиваются с неопределенностью относительно того, полностью ли обеспечены их токены.

Aave заморозил рынки rsETH на V3 и V4 в течение нескольких часов после взлома. Токен Aave упал примерно на 10%, поскольку рынки учли риск потенциальных безнадежных долгов.

SparkLend и Fluid также заморозили свои рынки rsETH. Lido Finance приостановил депозиты в свой продукт earnETH, который имеет экспозицию rsETH, уточнив при этом, что его основной протокол стейкинга не был затронут.

Ethena приостановил свои кроссчейн-мосты LayerZero OFT от основной сети Ethereum в качестве меры предосторожности примерно на шесть часов, заявив об отсутствии экспозиции rsETH.

Kelp опубликовал свой первый публичный ответ в 20:10 UTC — почти через три часа после атаки. Протокол заявил, что работает с LayerZero, Unichain, своими аудиторами и внешними специалистами по безопасности.

Тяжелый период для DeFi в 2026 году

Генеральный директор Cyvers Дедди Лавид заявил, что инцидент показывает риски композиции в DeFi, где протоколы глубоко связаны между собой.

Drift Protocol, платформа на базе Solana, была взломана на сумму около 285 миллионов $ 1 апреля в атаке, связанной с субъектами, аффилированными с Северной Кореей.

Более мелкие протоколы, включая CoW Swap, Zerion, Rhea Finance и Silo Finance, также были взломаны в последние недели.

Общие потери криптовалют от взломов и мошенничества достигли примерно 482 миллионов $ в первом квартале 2026 года, согласно Cyvers.

Взлом Kelp DAO теперь является крупнейшим DeFi-взломом 2026 года, превзойдя Drift на несколько миллионов долларов.

Kelp не раскрыл, как злоумышленник обошел логику проверки моста на момент публикации.

Статья «292 миллиона $ исчезли за 46 минут: внутри DeFi-взлома Kelp DAO» впервые появилась на CoinCentral.