Инцидент безопасности DeFi 2026: межпротокольные риски, вызванные уязвимостью Kelp DAO, и анализ кредитного рис

18 апреля 2026 года в 17:35 по всемирному координированному времени (UTC) на первый взгляд обычная кроссчейн-транзакция привела к одному из самых масштабных инцидентов безопасности в истории децентрализованных финансов (DeFi). Из-за уязвимости в конфигурации кроссчейн-моста rsETH от Kelp DAO злоумышленнику удалось создать из воздуха 116 500 токенов rsETH — на сумму около 293 миллионов долларов, что составляет примерно 18% от общего объёма обращения токена. Это событие не только установило новый рекорд по убыткам от одного инцидента в DeFi в 2026 году, но и спровоцировало системный кризис за счёт высокой сочетаемости DeFi-протоколов: всего за двое суток TVL (total value locked) Aave сократился на 8,45 миллиарда долларов, а совокупный TVL DeFi на всех блокчейнах уменьшился на 13,21 миллиарда долларов.

Однако инцидент с Kelp DAO не был единичным случаем. За первые четыре месяца 2026 года сектор DeFi столкнулся с рядом серьёзных нарушений безопасности, а совокупные потери достигли сотен миллионов долларов. Векторы атак становятся всё более сложными: от захвата управления и взломов мостов до манипуляций оракулами и повторных вызовов смарт-контрактов. Глубокая взаимосвязь протоколов усиливает разрушительный эффект любой уязвимости.

Хронология уязвимости кроссчейн-моста Kelp DAO

18 апреля 2026 года в 17:35 UTC злоумышленник воспользовался ошибкой в конфигурации кроссчейн-моста LayerZero от Kelp DAO. Сфабриковав кроссчейн-сообщение, он выпустил 116 500 rsETH в основной сети Ethereum — токены, не обеспеченные реальными активами. Через 46 минут после начала атаки команда Kelp DAO с помощью экстренного мультиподписи приостановила функции контракта rsETH в основной сети и на ряде L2-сетей. За это время злоумышленник дважды пытался создать ещё по 40 000 rsETH, однако оба раза попытки были отклонены из-за заморозки контракта.

Вместо немедленной продажи украденных rsETH на вторичном рынке злоумышленник внёс большую их часть в Aave V3 и V4 в качестве залога для получения настоящих WETH и ETH. Согласно ончейн-данным, чистая прибыль злоумышленника составила около 106 500 ETH (примерно 250 миллионов долларов) благодаря залоговым операциям и последующим продажам.

В результате Aave столкнулся с риском невозвратных долгов, оцениваемых в диапазоне от 177 до 236 миллионов долларов. В ответ команда Aave оперативно заморозила рынки rsETH в основной сети Ethereum и на L2-сетях, таких как Arbitrum, Optimism и Base, установив коэффициент LTV для rsETH на ноль. Вслед за этим другие протоколы, в том числе Compound и Euler, также приостановили или ограничили операции с соответствующими активами.

От уязвимости к заражению: цепная реакция

В отрасли по-разному оценили скорость реакции Kelp DAO. Некоторые участники сообщества отметили, что 46 минут — относительно быстрый срок для инцидента с кроссчейн-мостом. Другие указали, что между атакой в 17:35 и первым публичным заявлением в 20:10 прошло почти три часа, что создало информационный вакуум и усилило панику на рынке. Кроме того, использование Kelp DAO конфигурации 1/1 DVN вызвало споры о качестве аудита безопасности протокола.

Данные и структурный анализ: количественная оценка цепной реакции

Обзор состояния безопасности DeFi в 2026 году

Частота атак и убытки

Только за первые 18 дней апреля 2026 года криптопротоколы потеряли в результате взломов свыше 606 миллионов долларов — это худший месяц с февраля 2025 года. Протокол Drift 1 апреля лишился около 285 миллионов долларов в результате атаки на управление, а инцидент с Kelp DAO добавил ещё 293 миллиона, что вместе составляет подавляющую часть потерь за месяц. Эта волна крупных атак стала новым стресс-тестом для безопасности DeFi.

Эволюция методов атак

Исследователи безопасности выделяют два ключевых тренда в векторах атак 2026 года. Во-первых, растёт число эксплойтов, связанных с ошибками конфигурации кроссчейн-мостов и протоколов деривативных активов, а не только с багами в смарт-контрактах. Во-вторых, злоумышленники всё активнее используют сочетаемость DeFi для усиления воздействия единичных уязвимостей, превращая локальные инциденты в системные шоки. Пример Kelp DAO, где злоумышленник использовал выпущенные токены как залог для изъятия реальных активов, а не для мгновенной продажи, наглядно иллюстрирует этот сдвиг.

Количественная оценка последствий для Aave

Динамика TVL и цен на токены

По данным Gate и ончейн-мониторинга, на 20 апреля 2026 года последствия для Aave были следующими:

• Изменение TVL: TVL Aave снизился с примерно 26,396 млрд долларов до атаки 18 апреля до 17,947 млрд долларов спустя двое суток — падение на 8,45 млрд долларов.
• Чистый отток: Чистый отток средств из Aave составил около 6,2 млрд долларов, снижение на 23%.
• Невозвратные долги: Объём невозвратных долгов Aave оценивается в 177–236 млн долларов, главным образом по паре rsETH/WETH в основной сети Ethereum.
• Коэффициенты использования: Рынок кредитования WETH достиг 100% загрузки, а пулы USDT и USDC также полностью использованы — более 5,1 млрд долларов в стейблкоинах заблокированы до поступления новой ликвидности или погашения заёмщиками.
• Выводы крупных игроков: Abraxas Capital вывела около 392 млн долларов, MEXC — 431 млн, а крупный держатель, связанный с Nonco, — примерно 405,7 млн долларов.

Оценка безопасности базовых контрактов Aave отраслью

Важно отметить, что базовые смарт-контракты Aave не были взломаны. Злоумышленник воспользовался уязвимостью моста Kelp DAO для выпуска «воздушного залога», а затем с помощью сочетаемости DeFi занял реальные активы в системе Aave. Основатель Aave Станислав заявил на AMA, что это был «внешний источник заражения», а не баг в протоколе — с этим мнением согласны многие исследователи безопасности.

Два возможных сценария покрытия невозвратных долгов Aave

В настоящее время обсуждаются два основных варианта покрытия долгов: первый — постепенное поглощение убытка за счёт казначейских резервов и ежемесячной выручки (около 12 млн долларов); второй — при превышении убытком резервов потребуется задействовать Safety Module, что приведёт к сжиганию стейкинговых токенов AAVE, фактически возлагая расходы на наиболее лояльных стейкеров. По состоянию на 20 апреля окончательное решение не объявлено.

Анализ цены и отклонения от привязки rsETH

Изменения в обращении rsETH

В результате атаки было создано 116 500 rsETH — около 18% от общего предложения — без обеспечения реальным ETH. Все кроссчейн-активы rsETH более чем в 20 сетях теперь находятся в зоне неопределённости относительно их обеспечения до завершения сверки резервов Kelp.

Вопросы к механизму ценообразования rsETH

Аналитики отмечают, что как представитель LRT (Liquid Restaking Token), стоимость rsETH зависит от целостности его резервов в ETH. Любой разрыв между резервами и обращением подрывает его ценовую привязку. Конфигурация 1/1 DVN в Kelp DAO сконцентрировала кроссчейн-подтверждение на одном узле, пожертвовав избыточностью ради эффективности и создав системную уязвимость для LRT-активов в кроссчейн-сценариях.

Взвешенная стратегия SparkLend оказалась оправданной

Заблаговременное управление рисками в Spark Protocol

Стратегический руководитель Spark Protocol monetsupply.eth сообщил, что Spark заранее исключил низколиквидные активы, включая rsETH, в январе 2026 года, а также ужесточил критерии залога и функциональные ограничения. Хотя это решение вызвало недовольство пользователей с плечом в ETH, в условиях кризиса Kelp DAO оно оказалось крайне дальновидным с точки зрения управления рисками.

Сравнение ликвидности

В то время как Aave столкнулся с дефицитом ETH из-за экспозиции к rsETH, SparkLend сохранил достаточную ликвидность для вывода ETH. Spark также установил более высокие лимиты ставок по кредитованию ETH, уступив часть бизнеса Aave, но обеспечив более устойчивый баланс.

Важность отбора залоговых активов

Ранний отказ Spark от rsETH подчёркивает ключевой вывод: для DeFi-протоколов кредитования строгий отбор залога важнее расширения списка активов ради роста TVL. В экстремальных ситуациях широкое принятие залога становится источником системных рисков, а взвешенный отбор активов — первой линией защиты протокола.

Возможная смена парадигмы конкуренции кредитных протоколов

Этот инцидент может привести к переосмыслению конкуренции между DeFi-протоколами кредитования. Прежняя стратегия «максимизации TVL» будет подвергаться критике со стороны сообществ и инвесторов, а качество активов и способность к изоляции рисков станут ключевыми метриками безопасности. Кризисная стратегия Spark уже получила одобрение рынка и может стать ориентиром для других.

Сообщество, команды разработчиков и исследователи безопасности: трёхсторонний диалог

Настроения сообщества: от паники к осмыслению

Панические выводы и дискуссии о данных

В первые часы после инцидента обсуждения в китайских и англоязычных сообществах X превысили 100 миллионов сообщений. В начале преобладали панические выводы и опасения за безопасность активов. Основатель DeFiLlama 0xngmi отметил в X, что даже протоколы на Solana, не затронутые напрямую, испытали отток капитала. Он добавил, что совокупный TVL DeFi сократился почти на 10 миллиардов долларов, резюмировав: «В таких событиях нет победителей — общий пирог отрасли становится меньше, и проигрывают все».

Разделение мнений по управлению рисками Aave

После заморозки рынка rsETH в Aave сообщество разделилось на два лагеря. Сторонники считали, что быстрая реакция Aave эффективно ограничила дальнейший рост долгов и продемонстрировала устойчивость децентрализованного кредитования. Критики же указывали, что предварительная оценка рисков по rsETH могла быть недостаточной, особенно на фоне решения Spark исключить этот актив ещё в январе.

Ответы команд протоколов и разработчиков

Официальные заявления протоколов

• Kelp DAO: Официальный аккаунт X подтвердил «подозрительную активность при кроссчейн-трансферах rsETH» и объявил о полномасштабном расследовании совместно с LayerZero, аудиторами и экспертами по безопасности.
• LayerZero: В официальном посте X команда сообщила, что «осведомлена о происшествии и проводит расследование причин».
• Aave: В заявлении отмечалось, что rsETH в основной сети Ethereum «полностью поддерживается», однако рынок остаётся замороженным из соображений осторожности, а экспозиция ограничена.

Дискуссия об ответственности в отрасли

Большинство исследователей безопасности сходятся во мнении, что причиной стал мост Kelp DAO с конфигурацией 1/1 DVN. Однако существуют две точки зрения на ответственность: одни считают, что основная ответственность лежит на разработчиках Kelp DAO, другие указывают, что LayerZero как поставщик кроссчейн-инфраструктуры также не обеспечил должного уровня рекомендаций и лучших практик по конфигурации.

Взгляд исследователей безопасности

Технический разбор уязвимости

В ряде детальных разборов, опубликованных исследователями безопасности в X, отмечается, что атака стала возможна из-за конфигурации LayerZero OApp (Omnichain Application) в Kelp DAO: использование модели 1/1 DVN, основанной на единственном валидаторе, позволило злоумышленнику подделать кроссчейн-сообщения для верификации. Сформировав вредоносный payload, атакующий инициировал выпуск rsETH на целевой сети без реального обеспечения — фактически «создав» почти 300 миллионов долларов синтетических активов из воздуха.

Исторические параллели и уроки

Исследователи сравнили этот инцидент с атакой на мост Nomad в 2022 году: в обоих случаях уязвимость была связана с ошибками конфигурации кроссчейн-валидации и недостатками в процессе проверки сообщений. После Nomad внимание к безопасности мостов временно возросло, однако новые архитектуры и более сложные активы (например, LRT) вновь открыли новые поверхности для атак. Инцидент с Kelp DAO показывает, что проблема безопасности кроссчейн-мостов остаётся нерешённой и становится всё более актуальной по мере усложнения активов.

Анализ влияния на отрасль: от единичного сбоя к системному риску

Удар по доверию к сектору LRT

Переосмысление логики обеспечения стоимости LRT-активов

Как флагманский LRT-актив, rsETH наглядно продемонстрировал структурные риски LRT в кроссчейн-среде: их стоимость зависит от целостности резервов ETH, но уязвимость моста позволяет создавать «необеспеченные» токены, не затрагивая резервы. Это подрывает фундамент доверия ко всему сектору LRT.

Рост требований к прозрачности и аудиту резервов LRT

В дальнейшем отрасль может потребовать более строгой прозрачности резервов и аудита для LRT-протоколов. Kelp DAO придётся подтвердить целостность оставшегося обращения rsETH после сверки резервов. Этот процесс может стать переломным моментом для стандартов безопасности в секторе LRT.

Переоценка механизмов изоляции рисков в кредитных протоколах

Архитектура изолированных рынков Morpho доказала свою эффективность

Изолированная архитектура рынков Morpho ограничила экспозицию по rsETH до примерно 1 млн долларов, распределённых между двумя отдельными рынками, что предотвратило системное заражение протокола. В то же время единый пул залога в Aave позволил быстро распространить последствия от одного типа залога на весь протокол.

Архитектура протокола важнее реактивных мер управления рисками

Сравнение Morpho и Aave подчёркивает ключевой вывод: в безопасности DeFi архитектурная изоляция рисков важнее последующих мер управления. Пусть изолированные рынки менее эффективны по капиталу, но они работают как «огневая стена» при экстремальных событиях.

Безопасность кроссчейн-мостов: старая проблема в новом ракурсе

Риски в параметрах конфигурации LayerZero

Технической причиной инцидента Kelp DAO стала конфигурация моста с 1/1 DVN, что создало единую точку отказа при верификации кроссчейн-активов. Гибкость LayerZero требует более тщательного управления рисками.

Отраслевой запрос на стандартизацию безопасности кроссчейн-мостов

После инцидента отрасль может ускорить выработку стандартов безопасности для кроссчейн-мостов. Такие меры, как мультивалидация DVN, временные блокировки и лимиты на транзакции, могут стать базовыми требованиями для новых внедрений мостов. Например, Curve Finance приостановил работу LayerZero-инфраструктуры для проверки безопасности после инцидента — вероятно, аналогичные шаги предпримут и другие протоколы.

Сценарный анализ: перспективы безопасности DeFi после кризиса

Базовый сценарий: постепенное восстановление и институциональная устойчивость

В этом сценарии Aave постепенно покрывает невозвратные долги за счёт резервов и доходов, Kelp DAO завершает сверку резервов и раскрывает реальное обеспечение оставшегося rsETH, а отрасль восстанавливается после краткосрочного шока. Ключевые факторы: сможет ли Aave покрыть дефицит без сжигания Safety Module, поддержит ли сверка Kelp остаточную стоимость rsETH и смогут ли другие LRT-протоколы вернуть доверие за счёт большей прозрачности.

Стресс-сценарий: падение цены ETH провоцирует вторичные ликвидации

Стратегический руководитель Spark monetsupply.eth предупреждает: если ETH используется как основной залог, 100% загрузка означает невозможность ликвидаций. Если цена ETH упадёт на 15–20% при сохраняющемся дефиците ликвидности в Aave, объём невозвратных долгов может быстро увеличиться. В этом случае Safety Module stkAAVE может впервые подвергнуться масштабному сжиганию, что напрямую затронет держателей токена. Более широкий риск — формирование «порочного круга»: дефицит ликвидности — неудачные ликвидации — рост долгов, что может затронуть все DeFi-протоколы, использующие ETH как базовый залог.

Трансформационный сценарий: системное обновление архитектуры безопасности DeFi

Этот инцидент может стать катализатором системного обновления архитектуры безопасности DeFi. Возможные изменения: стандарты для кроссчейн-мостов (обязательная мультивалидация DVN, временные блокировки, лимиты на транзакции), регулярное подтверждение резервов для LRT-протоколов (ежедневная или в реальном времени сверка), ужесточение критериев допуска для рискованных деривативных активов в кредитных протоколах (по примеру Spark), а также более широкое внедрение изолированных архитектур рынков среди ведущих протоколов. Для этого потребуется новый баланс между безопасностью и эффективностью — но опыт Kelp DAO показал, что жертва избыточности ради эффективности обходится гораздо дороже, чем предполагалось.

Заключение

Эксплойт Kelp DAO на 293 миллиона долларов стал не просто масштабным взломом — это был реальный стресс-тест системных рисков DeFi. Воспользовавшись ошибкой конфигурации моста, злоумышленник запустил многоуровневую цепную реакцию: от LRT-активов к крупным кредитным протоколам и далее ко всему DeFi-сектору, в результате чего за двое суток TVL Aave сократился на 8,45 миллиарда долларов, а совокупный TVL DeFi — более чем на 13,2 миллиарда.

В ходе этого кризиса разные протоколы показали разные результаты: Aave с широкой политикой приёма залога испытал колоссальное давление; Morpho благодаря изолированной архитектуре ограничил риски минимальной экспозицией; SparkLend, заранее исключив rsETH и другие низколиквидные активы, остался вне зоны поражения. Эти контрасты подчёркивают главный вывод: в DeFi безопасность — это не просто набор технических мер, а вопрос архитектурной философии.

По состоянию на 20 апреля 2026 года сверка резервов Kelp DAO ещё не завершена, решение по невозвратным долгам Aave не принято, а реальная стоимость rsETH требует переоценки. Эти нерешённые вопросы продолжат испытывать устойчивость и управленческие механизмы DeFi. Несомненно одно: кризис безопасности 2026 года оставит глубокий след в истории DeFi, заставив отрасль пересмотреть приоритет «эффективность прежде всего» и искать новый баланс между безопасностью и развитием.