Інцидент безпеки DeFi 2026 року: ризики між протоколами, спричинені вразливістю Kelp DAO, та аналіз кредитного в
18 квітня 2026 року о 17:35 (UTC) звичайна, на перший погляд, кросчейн-транзакція спричинила одну з наймасштабніших безпекових подій в історії DeFi. Через вразливість у налаштуваннях кросчейн-моста rsETH від Kelp DAO зловмисник зміг створити з повітря 116 500 токенів rsETH — на суму близько 293 мільйонів доларів, що становить приблизно 18% від загальної циркулюючої пропозиції цього токена. Ця подія не лише встановила новий рекорд одноразових втрат у DeFi за 2026 рік, а й спровокувала системну кризу через композитність DeFi-протоколів: TVL Aave зменшився на 8,45 мільярда доларів за два дні, а сукупний TVL DeFi на всіх ланцюгах скоротився на 13,21 мільярда доларів.
Однак інцидент із Kelp DAO не був поодиноким. За перші чотири місяці 2026 року сектор DeFi пережив низку безпекових інцидентів із сукупними втратами на сотні мільйонів доларів. Вектори атак стають дедалі складнішими: від захоплення управління й експлуатації мостів до маніпуляцій оракулами та повторних викликів у смартконтрактах. Глибокі міжпротокольні зв’язки зараз посилюють руйнівний ефект будь-якої окремої точки відмови.
Хронологія вразливості мосту Kelp DAO
18 квітня 2026 року о 17:35 (UTC) зловмисник скористався помилкою в налаштуваннях кросчейн-моста LayerZero від Kelp DAO. Підробивши кросчейн-повідомлення, він випустив 116 500 rsETH у мережі Ethereum — токени без жодного реального забезпечення. Через 46 хвилин після початку атаки Kelp DAO за допомогою екстреного мультипідпису призупинив функції контракту rsETH у головній мережі та на кількох L2-ланцюгах. У цей проміжок часу зловмисник двічі намагався додатково випустити ще по 40 000 rsETH, але обидві спроби були відхилені через заморозку контракту.
Замість негайного продажу викрадених rsETH на вторинному ринку зловмисник переважну більшість токенів розмістив у Aave V3 та V4 як заставу для отримання справжніх WETH та ETH. Дані з блокчейна свідчать, що зловмисник отримав чистими близько 106 500 ETH — на суму близько 250 мільйонів доларів — шляхом застави та подальшого продажу.
Ця схема створила для Aave ризик неповернення кредитів на суму від 177 до 236 мільйонів доларів. У відповідь Aave терміново заморозив ринки rsETH у головній мережі Ethereum та на L2-ланцюгах, таких як Arbitrum, Optimism і Base, встановивши коефіцієнт Loan-to-Value для rsETH на рівні нуля. Інші протоколи, зокрема Compound та Euler, також призупинили або обмежили операції з пов’язаними активами.
Від вразливості до ланцюгової реакції
| Час (UTC) | Подія | Характер |
|---|---|---|
| 18 квітня, 17:35 | Зловмисник викликає функцію lzReceive контракту LayerZero EndpointV2 із підробленими кросчейн-даними, що призводить до емісії 116 500 rsETH | Атака |
| 18 квітня, 17:35–18:21 | Зловмисник розміщує rsETH у Aave V3/V4 як заставу для отримання великої кількості WETH | Рух коштів |
| 18 квітня, 18:21 | Екстрений мультипідпис Kelp DAO фіксує підозрілу активність, призупиняє контракти rsETH у головній мережі та інших ланцюгах | Екстрена реакція |
| 18 квітня, 18:26, 18:28 | Зловмисник двічі намагається випустити ще по 40 000 rsETH; обидві спроби відхилені | Зірвана атака |
| 18 квітня, 20:10 | Kelp DAO публікує першу офіційну заяву на X, підтверджуючи підозрілу кросчейн-активність | Офіційна заява |
| Вечір 18 квітня – 19 квітня | Aave заморожує ринки застави rsETH; Compound та Euler вживають аналогічних заходів | Реакція галузі |
| 19–20 квітня | TVL Aave падає з 26,396 млрд до 17,947 млрд доларів (мінус 8,45 млрд); сукупний TVL DeFi скорочується з 99,497 млрд до 86,286 млрд доларів | Відтік капіталу |
Оцінки оперативності реакції Kelp DAO в галузі були неоднозначними. Деякі учасники спільноти вважають, що 46 хвилин — це досить швидко для інциденту з кросчейн-мостом. Інші зазначають, що між атакою о 17:35 та першою публічною заявою о 20:10 минуло майже три години, що створило інформаційний вакуум і посилило паніку на ринку. Крім того, використання Kelp DAO конфігурації 1/1 DVN викликало дискусії щодо достатності аудиту безпеки.
Дані та структурний аналіз: кількісна оцінка ланцюгової реакції
Огляд безпеки DeFi у 2026 році
Частота атак і втрати
Лише за перші 18 днів квітня 2026 року криптопротоколи втратили понад 606 мільйонів доларів унаслідок атак — це найгірший місяць із лютого 2025 року. Drift Protocol втратив близько 285 мільйонів доларів через атаку на управління 1 квітня, а інцидент із Kelp DAO склав 293 мільйони доларів, разом становлячи переважну частину втрат цього місяця. Ця хвиля атак із великою вартістю стала новим випробуванням для безпеки DeFi.
Еволюція векторів атак
Дослідники безпеки виділяють дві основні нові тенденції у векторах атак 2026 року. По-перше, зростає акцент на експлуатації помилок у налаштуваннях кросчейн-мостів і протоколів похідних активів, а не лише вразливостей смартконтрактів. По-друге, зловмисники дедалі ефективніше використовують композитність DeFi для посилення впливу окремих вразливостей, перетворюючи ізольовані експлойти на системні шоки. Випадок із Kelp DAO, коли зловмисник використав створені токени як заставу для отримання реальної вартості, а не для негайного продажу, є показовим прикладом цієї зміни.
Кількісна оцінка впливу на Aave
Динаміка TVL і зміни цін токенів
За даними Gate та моніторингу блокчейна, станом на 20 квітня 2026 року Aave зазнав таких наслідків:
- Зміна TVL: TVL Aave впав із приблизно 26,396 мільярда доларів до атаки 18 квітня до 17,947 мільярда через два дні — мінус 8,45 мільярда доларів.
- Чистий відтік: Чистий відтік із Aave склав близько 6,2 мільярда доларів, що дорівнює зниженню на 23%.
- Погані борги: Aave наразі має 177–236 мільйонів доларів поганих боргів, переважно у парі rsETH/WETH у головній мережі Ethereum.
- Рівень використання: Ринок кредитування WETH досяг 100% використання, а пули USDT та USDC також повністю використані — понад 5,1 мільярда доларів у стейблкоїнах заблоковані до появи нової ліквідності або погашення позик.
- Вихід великих гравців: Abraxas Capital вивів близько 392 мільйонів доларів, MEXC — 431 мільйон доларів, а великий гравець, пов’язаний із Nonco, — приблизно 405,7 мільйона доларів.
Оцінка безпеки основних контрактів Aave
Варто підкреслити, що основні смартконтракти Aave не були зламані. Зловмисник скористався вразливістю мосту Kelp DAO для створення «повітряної застави», а потім використав композитність DeFi для отримання реальних активів у системі Aave. Засновник Aave Стані заявив на AMA, що це було «зовнішнє зараження», а не баг протоколу — цю думку поділяють і дослідники безпеки.
Два можливих шляхи покриття поганих боргів Aave
Наразі існують дві основні гіпотези щодо покриття поганих боргів Aave. По-перше, протокол може поступово погасити втрати за рахунок резервів казначейства та приблизно 12 мільйонів доларів щомісячного доходу. По-друге, якщо дефіцит перевищить резерви, Aave може звернутися до Safety Module, списавши стейковані токени AAVE, фактично переклавши витрати на найбільш відданих стейкерів. Станом на 20 квітня остаточного рішення оголошено не було.
Аналіз ціни rsETH та відхилення від прив’язки
Зміни в обігу rsETH
Унаслідок атаки було випущено 116 500 rsETH — близько 18% загальної пропозиції — без реального забезпечення ETH. Усі кросчейн-активи rsETH на понад 20 мережах тепер мають невизначений статус щодо забезпечення, очікуючи на звірку резервів і циркулюючої пропозиції від Kelp.
Питання до механізму ціноутворення rsETH
Аналітики зазначають, що як представницький LRT (Liquid Restaking Token), вартість rsETH залежить від цілісності резервів ETH. Будь-який розрив між резервами та обігом фундаментально підриває його прив’язку до ціни. Конфігурація 1/1 DVN у Kelp DAO сконцентрувала кросчейн-верифікацію на одному вузлі, пожертвувавши надмірністю заради ефективності й створивши системну вразливість для LRT у кросчейн-сценаріях.
Передбачливість стратегії SparkLend
Завчасне управління ризиками Spark Protocol
Керівник стратегії Spark Protocol, monetsupply.eth, повідомив, що Spark ще в січні 2026 року проактивно делістив маловикористовувані активи, зокрема rsETH, і відтоді посилив критерії застави та функціональні обмеження. Хоча це спочатку викликало невдоволення серед користувачів кредитного плеча ETH, під час кризи Kelp DAO цей крок виявився надзвичайно вдалим.
Порівняння ліквідності
Поки Aave стикався з дефіцитом ETH через експозицію до rsETH, SparkLend зберіг достатню ліквідність для виведення ETH. Spark також встановив вищі стелі ставок кредитування ETH, поступившись частиною бізнесу Aave, але сформувавши більш здоровий баланс.
Важливість скринінгу застави
Завчасне видалення rsETH у Spark підкреслює ключовий урок: у DeFi-протоколах кредитування ретельний скринінг застави важливіший за розширення її переліку задля збільшення TVL. У кризових ситуаціях широка прийнятність застави може стати джерелом системної слабкості, тоді як обачний відбір активів — це перша лінія захисту протоколу.
Можлива зміна конкуренції серед кредитних протоколів
Ця подія може спричинити переосмислення конкурентної моделі DeFi-кредитування. Колишня стратегія «максимізації TVL» ймовірно буде переглянута спільнотами та інвесторами, а якість активів і здатність до ізоляції ризиків стануть основними показниками безпеки. Антикризова стратегія Spark отримала схвалення ринку й може надихнути інші протоколи переглянути політику щодо застави.
Спільнота, розробники та дослідники безпеки: тристоронній діалог
Настрої спільноти: від паніки до рефлексії
Панічні виведення та обговорення даних
У перші години після інциденту обговорення в китайськомовних та англомовних спільнотах на X перевищили 100 мільйонів постів. Початкові настрої домінували панічними виведеннями та питаннями безпеки активів. Засновник DeFiLlama 0xngmi зазначив у X, що навіть протоколи на Solana, які не постраждали напряму, зазнали відтоку капіталу. Він додав, що TVL DeFi скоротився майже на 10 мільярдів доларів, підсумувавши: «У таких подіях немає переможців — загальний пиріг галузі просто зменшується, і всі втрачають».
Розкол у спільноті щодо управління ризиками Aave
Після заморозки ринку rsETH у Aave спільнота розділилася. Прихильники вважають, що швидка реакція Aave ефективно обмежила подальші погані борги, продемонструвавши стійкість децентралізованого кредитування. Критики ж вказують, що попередня оцінка ризиків щодо rsETH як застави була недостатньою, особливо з огляду на рішення Spark делістити цей актив ще в січні.
Реакція команд протоколів та розробників
Офіційні заяви протоколів
- Kelp DAO: Офіційний акаунт X підтвердив «підозрілу активність із кросчейн-переказами rsETH» і оголосив про повне розслідування за участю LayerZero, аудиторів і фахівців із безпеки.
- LayerZero: Офіційний пост у X повідомив, що команда «поінформована про інцидент і проводить розслідування причин».
- Aave: Офіційна заява зазначила, що rsETH у головній мережі Ethereum «повністю підтримується», але ринок залишається замороженим із міркувань обережності, а експозиція локалізована.
Дискусія щодо відповідальності в галузі
Дослідники безпеки загалом погоджуються, що причиною стала конфігурація мосту 1/1 DVN у Kelp DAO. Однак існують дві точки зору щодо відповідальності: одні вважають, що основна відповідальність лежить на розробниках Kelp DAO, інші ж наголошують, що LayerZero як постачальник кросчейн-інфраструктури також не забезпечив належних рекомендацій щодо налаштувань і кращих практик.
Погляд дослідників безпеки
Технічний діагноз вразливості
Детальні аналізи, опубліковані дослідниками безпеки в X, показали, що атака стала можливою через конфігурацію LayerZero OApp (Omnichain Application) у Kelp DAO: використання моделі 1/1 DVN із єдиним валідатором, що дозволило зловмиснику підробити кросчейн-повідомлення про верифікацію. Створивши шкідливий payload, зловмисник ініціював емісію rsETH на цільовому ланцюзі без реального кросчейн-забезпечення — фактично «створивши» майже 300 мільйонів доларів синтетичних активів із повітря.
Історичні паралелі та уроки
Дослідники порівнюють цю атаку з інцидентом мосту Nomad у 2022 році: обидва випадки пов’язані з помилками у валідації кросчейн-повідомлень, які дозволяли зловмисникам використати слабкі місця у процесі перевірки. Після Nomad пильність до безпеки мостів у галузі тимчасово зросла, але нові дизайни мостів і складніші типи активів (зокрема LRT) відкрили нові поверхні для атак. Інцидент із Kelp DAO показує, що безпека кросчейн-мостів залишається невирішеною проблемою, яка ускладнюється зі зростанням складності активів.
Аналіз впливу на галузь: від окремої точки відмови до системного ризику
Підрив довіри до LRT-сектору
Логіка цінового якоря LRT під питанням
Як флагманський LRT-актив, rsETH продемонстрував структурні ризики LRT у кросчейн-контексті: їхня цінова прив’язка залежить від цілісності резервів ETH, але вразливість мосту може створити «неприв’язані» токени, не зачіпаючи резерви. Це підриває довіру до всього сектору LRT.
Зростання вимог до прозорості й аудиту резервів LRT
Після інциденту галузь може вимагати суворішої прозорості резервів і аудиту для LRT-протоколів. Kelp DAO доведеться підтвердити цілісність залишкової циркулюючої пропозиції rsETH після звірки резервів. Цей процес може стати переломним моментом для стандартів безпеки в LRT-секторі.
Переоцінка ізоляції ризиків у кредитних протоколах
Архітектура ізольованих ринків Morpho довела свою ефективність
Архітектура ізольованих ринків Morpho обмежила експозицію до rsETH приблизно 1 мільйоном доларів, розподіленим між двома окремими ринками, що запобігло системному впливу на протокол. Натомість уніфікований пул Aave дозволив поширення ризику від одного типу застави на весь протокол.
Архітектура важливіша за реактивні заходи контролю ризиків
Контраст між Morpho та Aave підкреслює важливий висновок: у безпеці DeFi архітектурна ізоляція ризиків є фундаментальнішою, ніж реактивні заходи контролю. Ізольовані ринки можуть поступатися ефективністю капіталу, але забезпечують захист, подібний до firewall, у кризових ситуаціях.
Безпека кросчейн-мостів: стара проблема — новий поворот
Безпекові ризики в параметрах конфігурації LayerZero
Технічною причиною інциденту Kelp DAO стала конфігурація мосту 1/1 DVN, яка створила єдину точку відмови у верифікації кросчейн-активів. Гнучкість налаштувань LayerZero супроводжується підвищеним ризиком за відсутності належного управління.
Галузевий рух до стандартів безпеки кросчейн-мостів
Після інциденту галузь може прискорити розробку стандартів безпеки для кросчейн-мостів. Такі заходи, як мульти-DVN-верифікація, таймлоки та ліміти на транзакції, можуть стати базовими вимогами для впровадження мостів. Наприклад, Curve Finance призупинив використання LayerZero для аудиту безпеки після інциденту — аналогічні кроки можуть зробити й інші протоколи.
Сценарний аналіз: майбутнє безпеки DeFi після кризи
Базовий сценарій: поступове відновлення, інституційна стійкість
У цьому сценарії Aave поступово погашає погані борги за рахунок резервів і доходу, Kelp DAO завершує звірку резервів і розкриває реальне забезпечення залишкових rsETH, а галузь відновлюється після короткострокового шоку. Ключові змінні: чи зможе Aave покрити дефіцит без списання Safety Module, чи підтвердить звірка Kelp DAO залишкову вартість rsETH, і чи зможуть інші LRT-протоколи відновити довіру через більшу прозорість.
Стрес-сценарій: падіння ціни ETH спричиняє вторинні ліквідації
Керівник стратегії Spark, monetsupply.eth, попереджає: якщо ETH є основною заставою, а використання досягло 100%, ліквідації неможливі. Якщо ціна ETH впаде на 15–20% за умов дефіциту ліквідності в Aave, додаткові погані борги можуть швидко накопичитися. У такому разі Safety Module stkAAVE може вперше зазнати масштабного списання, що напряму вдарить по власниках токенів. Головний ризик — це замкнене коло «дефіцит ліквідності — невдалі ліквідації — зростання поганих боргів», яке може поширитися на всі DeFi-протоколи, що використовують ETH як основну заставу.
Трансформаційний сценарій: системне оновлення архітектури безпеки DeFi
Цей інцидент може стати каталізатором для системної модернізації безпеки DeFi. Серед можливих змін: галузеві стандарти для безпеки кросчейн-мостів (обов’язкова мульти-DVN-верифікація, таймлоки, ліміти транзакцій), регулярний proof-of-reserves для LRT-протоколів (щоденна або реальна звірка), жорсткіші критерії допуску для ризикованих похідних активів у кредитних протоколах (за моделлю скринінгу Spark), ширше впровадження ізольованих ринків серед провідних кредитних протоколів. Досягнення цього вимагатиме нових компромісів між безпекою та ефективністю, але інцидент із Kelp DAO показав: жертва надмірності заради ефективності коштує значно дорожче, ніж очікувалося.
Висновки
Експлойт Kelp DAO на 293 мільйони доларів — це не просто масштабний злам, а реальний стрес-тест системного ризику в DeFi. Використавши вразливість у конфігурації мосту, зловмисник запустив багаторівневу ланцюгову реакцію від LRT-активів до провідних кредитних протоколів і всього DeFi-середовища, що призвело до втрати 8,45 мільярда доларів TVL у Aave та понад 13,2 мільярда доларів сукупного DeFi-капіталу лише за два дні.
У цій кризі різні протоколи показали кардинально різні результати: Aave із широким прийняттям застави зазнав величезного тиску; Morpho завдяки ізольованій архітектурі обмежив ризики мінімальним масштабом; SparkLend, завчасно делістивши rsETH та інші маловикористовувані активи, залишився неушкодженим. Ці контрасти вказують на головний урок: у DeFi безпека — це не лише набір технічних заходів, а питання архітектурної філософії.
Станом на 20 квітня 2026 року звірка резервів Kelp DAO ще триває, рішення щодо поганих боргів Aave не прийнято, а реальна вартість rsETH потребує переоцінки. Ці невирішені питання й надалі випробовуватимуть інституційну стійкість і управління DeFi. Безсумнівно, криза безпеки 2026 року залишить глибокий слід в історії DeFi, змусивши галузь переосмислити модель зростання «ефективність понад усе» й шукати новий баланс між безпекою та експансією.
Поділіться
