От атаки на KelpDAO до риска дефолта Aave: анализ кризиса с обеспечением rsETH и механизмов покрытия резервов
18 апреля 2026 года произошла атака, не затронувшая код смарт-контрактов, но приведшая к крупнейшей в истории Aave просроченной задолженности. Этот ведущий протокол кредитования ранее не сталкивался с серьезными инцидентами безопасности. Злоумышленник с помощью кроссчейн-моста KelpDAO создал из воздуха 116 500 rsETH, внес эти необеспеченные токены в Aave в качестве залога, взял крупный заем в WETH и исчез. По данным Gate, на 22 апреля 2026 года токен AAVE стоил 92,51 $ — снижение на 7,72 % за последние 7 дней, при этом рыночные настроения оставались нейтральными. Однако опасения рынка выходят далеко за рамки динамики токена: смогут ли страховые резервы Umbrella покрыть этот убыток, который может достичь 230,1 млн долларов? Может ли этот кризис спровоцировать более масштабное распространение проблем в DeFi?
Точная атака за 46 минут
В 17:35 UTC 18 апреля 2026 года кроссчейн-мост rsETH, построенный KelpDAO на базе LayerZero, подвергся атаке. За 46 минут злоумышленник вывел с основной сети Ethereum 116 500 rsETH на сумму около 292 млн долларов — почти 18 % всего оборота rsETH. Экстренная мультиподписьная группа KelpDAO спустя примерно 46 минут заморозила ключевые компоненты протокола, включая пул ликвидности LRT, контракты вывода, оракул и токен rsETH, успешно заблокировав две последующие попытки вывода на сумму 40 000 rsETH (около 100 млн долларов). Однако к этому моменту 116 500 rsETH уже были распределены злоумышленником по восьми заранее подготовленным адресам и быстро внесены на рынки Aave V3 и V4.
Этот инцидент стал крупнейшей на данный момент атакой на отдельный DeFi-протокол в 2026 году.
Хронология событий
| Время (2026) | Ключевое событие |
|---|---|
| 18 апреля, 17:35 UTC | Злоумышленник отправляет поддельное кроссчейн-сообщение в контракт моста KelpDAO, незаконно выпускает 116 500 rsETH |
| В течение 46 минут после атаки | Экстренная мультиподпись KelpDAO замораживает ключевые компоненты протокола, предотвращает дальнейшие попытки вывода |
| В течение 6 минут после атаки | Злоумышленник вносит rsETH в Aave V3/V4 через 8 подготовленных адресов, берет заем в WETH |
| Раннее утро 19 апреля | Guardians Aave замораживают резервы rsETH/wrsETH на всех 11 рынках, устанавливают LTV на нуле |
| 19 апреля | По данным DefiLlama, TVL Aave падает с 26,3 млрд до примерно 18 млрд долларов — минус 8,3 млрд за два дня |
| 20 апреля | LayerZero публикует предварительный отчет, связывает атаку с группой Lazarus (TraderTraitor) из КНДР |
| 21 апреля | Совет безопасности Arbitrum замораживает 30 766 ETH (~71 млн $), связанных с атакой |
- Потери: 116 500 rsETH, около 292 млн долларов
- Затронутые рынки Aave: 11, включая Ethereum Core, Arbitrum, Mantle, Base, Linea и другие
- Отток TVL из Aave: около 8,3 млрд долларов за два дня
- Суммарное сокращение TVL DeFi по отрасли: около 10 млрд долларов
Технический разбор атаки
Данная атака не была классической эксплуатацией смарт-контракта, а представляла собой сложное событие, сочетающее «ошибку конфигурации моста» и «инфраструктурную атаку на уровне государства». Сценарий развития событий выглядел так:
Шаг 1: Получение списка RPC-нод. Злоумышленник получил список RPC-нод, используемых децентрализованной сетью валидаторов (DVN) LayerZero Labs.
Шаг 2: Отравление RPC-нод. Были скомпрометированы две из этих нод, в которых бинарные файлы op-geth заменили на вредоносные. Для DVN эти ноды отдавали поддельные данные, а для остальных наблюдателей казались «честными».
Шаг 3: DDoS и принудительный фейловер. Злоумышленник провел DDoS-атаку на оставшиеся некомпрометированные RPC-ноды, вынудив DVN направлять весь трафик через зараженные узлы.
Шаг 4: Отправка поддельного кроссчейн-сообщения. Было отправлено поддельное кроссчейн-сообщение якобы от Unichain KelpDAO. DVN, основываясь на фальшивых данных с зараженных нод, валидировал сообщение. После достижения кворума мультиподписи 2/3 сообщение было признано легитимным.
Шаг 5: Выпуск rsETH в основной сети Ethereum. Злоумышленник вызвал функции commitVerification() и lzReceive(), в результате чего адаптер rsETH OFT в Ethereum создал и выпустил 116 500 rsETH на адрес атакующего.
Шаг 6: Обналичивание. rsETH были распределены по восьми заранее подготовленным адресам, с каждого из которых примерно за шесть минут токены вносились в Aave в качестве залога, затем брались займы в WETH и активы выводились.
Данные блокчейна подтверждают атаку: outboundNonce Unichain остался на уровне 307, nonce 308, на который ссылался злоумышленник, никогда не существовал. Событие PacketSent для nonce 308 не было зафиксировано, а общий объем rsETH в Unichain составлял всего 49,26 — сжечь кроссчейн 116 500 было математически невозможно.
Оценка риска для Aave
Согласно отчету LlamaRisk от 21 апреля, злоумышленник внес 89 567 украденных rsETH в качестве залога на нескольких рынках Aave V3, взяв в долг около 82 650 WETH (~191 млн долларов) и 821 wstETH. Поскольку эти rsETH были созданы из воздуха и не имели реального обеспечения, их залоговая стоимость в системе Aave фактически равна нулю, что привело к образованию просроченной задолженности.
Aave сталкивается с двумя возможными сценариями по убыткам, окончательное решение зависит от подхода KelpDAO к распределению потерь:
| Параметр | Сценарий 1: Глобальное распределение потерь | Сценарий 2: Потери только на L2 |
|---|---|---|
| Размер убытка | ~123,7 млн долларов | ~230,1 млн долларов |
| Основные затронутые рынки | Ethereum Core | Mantle, Arbitrum |
| Ключевые данные по рискам | Достаточно резервов WETH | Дефицит Mantle — 71,45 %, Arbitrum — 26,67 % |
| Риск открепления rsETH | ~15 % | Более высокий |
| Потенциал покрытия Umbrella | Частичное | Покрытие затруднено |
Источник: отчет LlamaRisk
Оценка покрытия резервами
На момент публикации отчета в распоряжении Aave находились следующие фонды:
- Казна Aave DAO: около 181 млн долларов в активах
- Страховой резерв Umbrella: примерно 80–100 млн долларов
- OG Safety Module: около 300 млн долларов в токенах AAVE; при списании 20 % можно получить дополнительно около 60 млн долларов на покрытие убытков
Ожидаемый дефицит резервов:
В худшем случае (убыток 230,1 млн долларов) даже при использовании Umbrella (около 55 млн), казны Aave (около 85 млн) и списания OG Safety Module (около 60 млн) останется дефицит примерно 76 млн долларов, который придется покрывать за счет займов или продажи токенов AAVE.
Разногласия в отрасли
Инцидент вызвал острые споры и различные трактовки причин, сосредоточив внимание на трех ключевых аспектах:
Споры о распределении ответственности
LayerZero указала на архитектурные решения KelpDAO, отметив, что использовалась схема «1/1 DVN» — то есть один валидатор мог одобрять кроссчейн-сообщения, тогда как отраслевой стандарт предполагает несколько DVN. LayerZero утверждает, что неоднократно рекомендовала KelpDAO перейти на мульти-DVN, но это не было реализовано, и объявила, что больше не будет подписывать сообщения для приложений с конфигурацией 1/1 DVN.
KelpDAO ответила, что работает на инфраструктуре LayerZero с января 2024 года и поддерживала открытый диалог с командой LayerZero. Вопрос конфигурации DVN обсуждался при расширении на L2, и дефолтная настройка была явно согласована как подходящая, что, по мнению KelpDAO, также возлагает часть ответственности на документацию и рекомендации LayerZero.
Отраслевые эксперты отметили, что злоумышленник смог «связать воедино уязвимости инфраструктуры, приложений и доверительных отношений». Это не была случайная атака, а сложная операция, нацеленная на комплексные системы.
Оценка действий Aave
Сторонники отметили оперативность Aave — все 11 рынков rsETH/wrsETH были заморожены в течение нескольких часов, LTV установлен на нуле, ставки по WETH на мультичейне снижены, кредитование приостановлено. Основатель Aave Стани в AMA с сообществом подчеркнул, что основные контракты протокола остались в безопасности, а ежемесячный доход около 12 млн долларов позволяет покрыть возможные потери.
Критики опасаются, что если для покрытия убытков будут использованы застейканные в модуле безопасности токены AAVE, то издержки уязвимости KelpDAO лягут на держателей Aave. Также отмечается, что механизм Umbrella, запущенный менее двух месяцев назад, уже проходит серьезную проверку на прочность, и его эффективность пока не доказана.
Взгляд на будущее DeFi
Основатель DefiLlama 0xngmi отметил, что даже не затронутые напрямую протоколы испытали отток средств: из Aave выведено 6,2 млрд долларов (-23 %), а по отрасли TVL DeFi сократился почти на 10 млрд долларов. Его резюме: «В таких инцидентах нет победителей — только уменьшается общий "пирог" для всей отрасли».
В то же время некоторые считают, что несмотря на «список хакеров 2026 года» и усиление пессимизма, ончейн-экономика продолжает расти: совокупная капитализация USDT и USDC — около 263 млрд долларов, объем токенизированных гособлигаций США превысил 10,9 млрд, а капитал перетекает в более простые и прозрачные продукты.
Структурные последствия для отрасли
Смена парадигмы безопасности DeFi
Инцидент с KelpDAO выявил структурную слепую зону в безопасности DeFi: аудиты в основном концентрируются на коде смарт-контрактов, но злоумышленники могут полностью обойти код и атаковать инфраструктуру. В данном случае использовались отравление RPC и DDoS для подрыва доверия к кроссчейн-валидации, без эксплуатации уязвимостей в контрактах. Это расширяет поверхность угроз DeFi с «корректности кода» до «надежности валидации» и «целостности инфраструктуры».
Исследовательские компании отмечают, что вместе с атакой на Drift Protocol в начале апреля (285 млн долларов, злоупотребление привилегиями и ошибки в подписи), этот инцидент указывает на тренд: права управления, процессы подписания, мосты, оракулы и параметры конфигурации важны не меньше, а иногда и больше, чем сам код смарт-контрактов.
Влияние на рынок токенов ликвидного рестейкинга
rsETH — один из крупнейших токенов ликвидного рестейкинга (LRT) в экосистеме EigenLayer — столкнулся с кризисом доверия, который распространяется на весь сектор LRT. До инцидента TVL rsETH превышал 1,5 млрд долларов, после атаки все связанные рынки были заморожены. Важнее всего, что инцидент подтвердил ключевой риск кроссчейн-LRT: если LRT полагаются на мосты для обращения между сетями, уязвимость на одном из мостов ставит под угрозу держателей токенов на всех сетях.
Долгосрочное испытание кредитного доверия Aave
Хотя основные контракты Aave не были скомпрометированы, проблема «верификации подлинности залога» останется вызовом для управления протоколом. Некоторые эксперты считают, что срочно требуется механизм проверки источника залога: кроссчейн-активы вроде rsETH должны предоставлять ончейн-доказательства (Merkle proofs) наличия обеспечения в реальном времени, чтобы оракулы валидировали не только цену, но и «подлинность актива». Вопрос о внедрении более строгой верификации залога в Aave V4 будет находиться под пристальным вниманием отрасли.
Ускорение миграции капитала
Отток средств, вызванный инцидентом, распределился неравномерно. По данным, несмотря на снижение TVL DeFi-протоколов, капитализация стейблкоинов и токенизированных гособлигаций продолжила расти: капитализация USDT достигла 185 млрд долларов, USDC — 78 млрд, токенизированные гособлигации превысили 10,9 млрд. Это расхождение указывает на переток капитала из сложных DeFi-продуктов в более простые и прозрачные. В стратегии Visa по стейблкоинам на 2026 год также отмечается, что предложение стейблкоинов выросло более чем на 50 % в 2025 году, а 2026 год станет переломным для институционального спроса.
Заключение
Инцидент с KelpDAO выявил структурную проблему DeFi, которую долго игнорировали: безопасность кода смарт-контрактов не равна безопасности всей системы. Если злоумышленники могут похитить 292 млн долларов, не затрагивая ни одной строки контракта, а лишь подорвав доверие к инфраструктуре, вся парадигма безопасности отрасли должна меняться. Для Aave окончательное решение по покрытию убытков будет зависеть от координации между участниками и политики распределения потерь KelpDAO. Еще важнее, что этот инцидент ускорит эволюцию стандартов безопасности DeFi — избыточная кроссчейн-валидация, доказательство подлинности залога и изоляция рисков между протоколами становятся не «приятным дополнением», а вопросом выживания. Как отметил основатель DefiLlama, в подобных инцидентах нет победителей, но отрасль может выйти из них более устойчивой, пройдя через эти испытания.
Поделиться
