Эксплойт Kelp DAO на $290 млн вызвал панику на рынках Ethereum и Arbitrum

Эксплойт на сумму свыше $290 млн ударил по экосистеме Kelp DAO и спровоцировал напряженность на рынках Ethereum и Arbitrum. На фоне опасений в DeFi кредитные протоколы начали экстренные действия по ограничению ущерба. Атака была связана с кроссчейн-мостом rsETH, который обеспечивает перенос ликвидности между площадками и используется в операциях с обеспеченным кредитованием. Инцидент усилил тревожность из‑за системных рисков: взаимосвязанные протоколы столкнулись с угрозой цепной реакции на фоне компрометации активов. Рынок отреагировал резким ухудшением настроений: токен Aave в моменте просел почти на 18%. Падение подчеркнуло рост осторожности в отношении инструментов, связанных с эксплойтом, и ускорило перераспределение позиций трейдерами для контроля рисков. По данным ончейн-расследования, уязвимость не была связана с инфраструктурой LayerZero, на которую первоначально обратили внимание из‑за ее роли в межсетевом взаимодействии. Исследователи указали на проблему доверия между "пирами", вызванную компрометацией ключей в исходной сети, что открыло путь к несанкционированному доступу. Злоумышленник получил контроль над легитимным peer-контрактом Kelp DAO, смог напрямую взаимодействовать с операциями моста и перемещать средства без раннего обнаружения. Данные блокчейна также показывают, что первые транзакции финансировались через Tornado Cash, что затруднило отслеживание активности. После получения активов атакующий избежал немедленной ликвидации и перешел к поэтапной стратегии, чтобы дольше удерживать контроль над средствами. Он внес rsETH в кредитные протоколы и занял Wrapped Ethereum под это обеспечение, расширив общую экспозицию. Такая схема позволила извлекать ликвидность при сохранении контроля над базовыми активами и усилила давление на площадки, которым пришлось оценивать обеспечение с неопределенной стоимостью. Аналитики оценивают текущие запасы злоумышленника более чем в 106 000 ETH, что близко к $250 млн. По данным PeckShieldAlert, эксплойтер стал 8‑м крупнейшим держателем variableDebtEthWETH на Aave в сети Ethereum с 52 443,94 единицы (около $123 млн) и 4‑м крупнейшим держателем variableDebtarbWETH на Arbitrum с 12 381,93 единицы (около $22 млн). Общий объем владения: 106 466,7 ETH (примерно $250 млн). Подобное позиционирование усилило стресс сразу на нескольких платформах: риск распространяется через системы, завязанные на общую ликвидность, а использование заемных средств усложняет локализацию последствий, поскольку экспозиция выходит за пределы одного протокола. Aave заморозила все рынки rsETH во всех развертываниях V3 и V4, отключив возможность заимствований для ограничения дальнейшего ущерба и стабилизации системы. Основатель Aave Стани Кулечов заявил, что ключевые смарт-контракты протокола остаются защищенными, но инцидент вновь указал на уязвимости внешних интеграций и кроссчейн-зависимостей. Случай с Kelp DAO демонстрирует, как быстро риск способен распространяться по DeFi-платформам при появлении уязвимостей в общей инфраструктуре даже при оперативных мерах по сдерживанию.