$292 мільйони зникли за 46 хвилин: всередині Kelp DAO DeFi хаку

Коротко

• Міст Kelp DAO на базі LayerZero було зламано в суботу, викрадено 116 500 rsETH на суму ~$292 мільйони
• Зловмисник обманув рівень обміну повідомленнями LayerZero, змусивши його перерахувати кошти на адресу, що контролюється зловмисником
• Близько $250 мільйонів викрадених коштів було конвертовано в ETH; використовувалася адреса, що фінансується Tornado Cash
• Принаймні дев'ять протоколів заморозили ринки rsETH, включаючи Aave, SparkLend та Fluid
• Це найбільша атака на DeFi у 2026 році, що перевершує злом Drift Protocol 1 квітня

Зловмисник викрав 116 500 rsETH з моста Kelp DAO на базі LayerZero в суботу о 17:35 UTC, заволодівши приблизно $292 мільйонами криптоактивів.

Викрадена сума становить близько 18% від загальної кількості rsETH в обігу, яка становить 630 000 токенів, згідно з даними CoinGecko.

Kelp DAO — це протокол ліквідного рестейкінгу. Він приймає депоновані користувачами ETH, направляє їх через EigenLayer для отримання додаткової прибутковості та випускає rsETH як токен-квитанцію для торгівлі.

Зловмисник обманув кросчейн рівень обміну повідомленнями LayerZero, змусивши його повірити, що надійшла дійсна інструкція з іншої мережі. Це змусило міст Kelp перерахувати кошти на гаманець, що контролюється зловмисником.

Аварійний мультипідпис Kelp призупинив основні контракти протоколу через 46 хвилин після викрадення, о 18:21 UTC. Дві подальші спроби викрасти ще 40 000 rsETH — на суму приблизно $100 мільйонів — були заблоковані.

Викрадені кошти були переміщені через адресу, що фінансується Tornado Cash. Близько $250 мільйонів викраденого rsETH вже було конвертовано в ETH, згідно з компанією з безпеки блокчейн Ethereum Cyvers.

Наслідки поширюються на DeFi

Міст, який було зламано, тримав резерв, що забезпечує обгорнутий rsETH на понад 20 блокчейнах, включаючи Base, Arbitrum, Linea, Blast та Scroll.

Після зникнення цього резерву власники rsETH у мережах layer 2 тепер стикаються з невизначеністю щодо того, чи повністю забезпечені їхні токени.

Aave заморозив ринки rsETH на V3 та V4 протягом кількох годин після злому. Токен Aave впав приблизно на 10%, оскільки ринки врахували ризик потенційного безнадійного боргу.

SparkLend та Fluid також заморозили свої ринки rsETH. Lido Finance призупинив депозити в свій продукт earnETH, який має експозицію rsETH, при цьому пояснивши, що його основний протокол стейкінгу не був залучений.

Ethena призупинив свої мости LayerZero OFT з основної мережі блокчейн Ethereum як запобіжний захід приблизно на шість годин, заявивши, що не має експозиції rsETH.

Kelp опублікував свою першу публічну відповідь о 20:10 UTC — майже через три години після атаки. Протокол повідомив, що працює з LayerZero, Unichain, своїми аудиторами та зовнішніми фахівцями з безпеки.

Важкий період для DeFi у 2026 році

Генеральний директор Cyvers Deddy Lavid заявив, що інцидент показує ризики композитності в DeFi (Децентралізовані фінанси), де протоколи глибоко пов'язані.

Drift Protocol, платформа на базі Solana, було зламано на суму близько $285 мільйонів 1 квітня в атаці, пов'язаній із акторами, які мають зв'язки з Північною Кореєю.

Менші протоколи, включаючи CoW Swap, Zerion, Rhea Finance та Silo Finance, також були зламані протягом останніх тижнів.

Загальні втрати криптовалют від зломів та шахрайств сягнули приблизно $482 мільйони у першому кварталі 2026 року, згідно з Cyvers.

Злом Kelp DAO тепер є найбільшим зломом DeFi (Децентралізовані фінанси) у 2026 році, перевершивши Drift на кілька мільйонів доларів.

Kelp не розкрив, як зловмисник обійшов логіку валідації моста станом на момент публікації.

Публікація $292 мільйони зникли за 46 хвилин: всередині злому Kelp DAO DeFi з'явилася вперше на CoinCentral.