KelpDAO взломали на $292 млн: Aave столкнулась с оттоком свыше $5,4 млрд на фоне кризиса безопасности в DeFi

По данным BlockBeats, 19 апреля в ранние часы мультичейн-платформа liquid staking KelpDAO подверглась атаке: злоумышленник вывел 116"500 rsETH из кроссчейн-моста KelpDAO на базе LayerZero. Ущерб оценивается примерно в $292 млн — это крупнейший инцидент безопасности в DeFi с начала 2026 года. Примерно через 46 минут KelpDAO экстренно отреагировала: остановила multisig и заморозила ключевые компоненты, включая пулы депозитов LRT, контракты вывода, оракулы и токен rsETH. Компания сообщила, что выявила аномальную кроссчейн-активность с rsETH, приостановила связанные контракты в mainnet и на нескольких L2 и совместно с LayerZero и другими участниками проводит анализ первопричин. Две последующие попытки вывода средств со стороны атакующего оказались безуспешными благодаря принятым ограничениям. По оценке, хакер пытался перевести дополнительно 40"000 rsETH (около $100 млн); в случае успеха совокупные потери могли вырасти примерно до $391 млн. После взлома злоумышленник задействовал заимствования сразу в нескольких лендинговых протоколах — Aave, Compound, Euler и Fluid — что привело к формированию bad debt на ряде площадок. На Aave пришлось около $177 млн проблемной задолженности, на Compound — порядка $39,4 млн, на Euler — примерно $840"000. Aave пострадала сильнее всего и заявила, что заморозила рынки rsETH в версиях V3 и V4, подчеркнув: речь идет о проблеме актива rsETH, а не об уязвимости смарт-контрактов протокола. Aave оценивает кредитные позиции, созданные после инцидента, и отметила, что при возникновении bad debt будет "искать способы покрыть дефицит". По данным отчета, атакующий внес основную часть похищенного rsETH в Aave в качестве залога, чтобы занять ETH; меньшая часть rsETH была продана напрямую за ETH. В результате через залоговые операции и продажи хакер получил суммарно 106"466 ETH (примерно $250 млн). На фоне возросших рисков из Aave в срочном порядке вывели активы более чем на $5,4 млрд после того, как злоумышленник занял крупные объемы ETH под залог незаконно выпущенного rsETH. В частности, Джастин Сан вывел 65"584 ETH ($154 млн). Коэффициент использования ETH на Aave временно достиг 100%. Основатель Curve Майкл Егоров написал, что произошедшее демонстрирует риски широко распространенной модели "non"isolated lending": она масштабируема, но несет повышенные риски, поэтому критически важно управление рисками. По его мнению, модель hub"and"spoke в Aave v4 может стать шагом к полуизолированному и более безопасному подходу. Крипто"KOL benmo.eth отметил, что кража rsETH в KelpDAO имеет далеко идущие последствия: она подрывает представление о "неуязвимости" Aave и заставляет крупных держателей пересматривать риски в едином кредитном рынке. Он считает, что Aave V4 и модульный лендинг могут стать будущим трендом и ускорить переход. В более широком плане DeFi, по его словам, сместится от экспансии к более консервативной модели безопасности и будет вынужден активнее учитывать угрозы, связанные с ИИ, включая AI"driven угрозы вроде Anthropic Mythos. Сооснователь Bankless Райан Шон Адамс заявил: "Частота криптовзломов достигла исторического максимума. Думаю, это связано с ИИ. ИИ дает хакерам 'темные суперспособности'. Защита должна догнать как можно быстрее — времени больше нет."