18 квітня 2026 року о 17:35 (UTC) зловмисник використав уразливість у мосту rsETH від Kelp DAO, який побудовано на міжланцюговій інфраструктурі LayerZero. Підробивши вхідні пакети даних, зловмисник вивільнив 116 500 rsETH — на той момент це становило близько 292 мільйонів доларів. Розслідування Chainalysis і ZachXBT вказали на причетність групи Lazarus з Корейської Народно-Демократичної Республіки. Зловмисники обійшли перевірки безпеки мережі з єдиним вузлом-валідатором, поєднавши DDoS-атаки на зовнішні вузли з маніпуляціями внутрішніми RPC-вузлами.
Це не був типовий експлойт смартконтракту: не було ні повторного входу (reentrancy), ні відсутніх дозволів, ні маніпуляцій з ціновим оракулом. Ключовим проривом для атакуючого стало те, що Kelp DAO використовував єдину точку відмови: конфігурацію 1-із-1 DVN, яка повністю покладалася на вузол-валідатор, керований LayerZero Labs. Як тільки дані RPC цього вузла були успішно підроблені, контракт мосту на стороні Ethereum випустив реальні rsETH за підроблене міжланцюгове повідомлення, оскільки не було жодного резервного вузла-валідатора для додаткової перевірки транзакції.
Замість того, щоб одразу продати викрадені rsETH на ринку, зловмисник розмістив близько 90 000 rsETH у якості застави у Aave V3 і позичив приблизно 190 мільйонів доларів у ETH та інших активах. Це призвело до появи величезного обсягу проблемної заборгованості на платформі Aave. TVL Aave впав із 26,4 мільярда доларів до 17,9 мільярда, а з екосистеми DeFi за короткий час було виведено понад 13 мільярдів доларів капіталу.
Станом на 29 квітня 2026 року ринкові дані Gate показували, що ETH торгувався близько 2 300 доларів. Після атаки ціна rsETH короткочасно впала до 1 723 доларів, що створило спред у 500 доларів між rsETH та ETH — явна ознака паніки на ринку через незабезпечені rsETH.
Ще тривожніше те, що цей інцидент не був поодиноким. Лише за перший квартал 2026 року протоколи DeFi втратили близько 168,6 мільйона доларів через атаки. За перші 20 днів квітня збитки зросли до 606,2 мільйона доларів — це найбільший місячний показник із лютого 2025 року.
Чому єдиний вузол-валідатор — це фатальна вада інфраструктури DeFi?
Атака на Kelp DAO виявила давно недооцінену структурну проблему: дисбаланс у налаштуваннях безпеки міжланцюгових мостів. У архітектурі LayerZero кожне міжланцюгове повідомлення має перевірятися одним або кількома децентралізованими мережами вузлів-валідаторів перед тим, як потрапити до цільового ланцюга. Проте міст rsETH від Kelp DAO покладався лише на один вузол-валідатор — DVN від LayerZero Labs, що фактично створило єдину точку відмови.
Ця схема не є унікальною. Чим простіша логіка міжланцюгового мосту, тим менше зазвичай використовують вузлів-валідаторів, жертвуючи безпекою заради швидшого підтвердження повідомлень і менших витрат на газ. Але коли лише один вузол-валідатор виконує функцію "свідка", зловмиснику достатньо скомпрометувати лише цю ланку — чи то RPC-вузол, сервер валідатора, чи облікові дані оператора — щоб обійти всю систему міжланцюгової перевірки.
Ще більш тривожним є те, що методи зловмисника були практично невидимі для традиційного ончейн-моніторингу. Кожна ончейн-транзакція виглядала цілком легітимною на рівні байткоду: повідомлення передавалися, підписи перевірялися, а контракт у цільовому ланцюзі виконував коректну реакцію на міжланцюговий запит. Справжня маніпуляція відбувалася поза ланцюгом — у шарі валідації, який вирішує: "Чи слід схвалити це міжланцюгове повідомлення?"
Такий тип атаки вказує на суттєве зміщення меж безпеки DeFi: вразливості смартконтрактів більше не є єдиним джерелом системного ризику. Периферійна інфраструктура міжланцюгових мостів — RPC-вузли, мережі валідаторів, позаланцюгові сервіси підпису — стає дедалі привабливішою ціллю для атак. У 2026 році цей вектор атак лише посилюється. Атаки на Kelp DAO і Drift Protocol разом склали 95% від загальних втрат DeFi у квітні, що фундаментально демонструє: зловмисники системно розширюють свої цілі від окремих смартконтрактів до всієї інфраструктурної ланки DeFi.
Варто також зазначити, що за перші 4,5 місяці 2026 року відбулося 47 зламів у криптоіндустрії, тоді як за аналогічний період 2025 року їх було 28 — річне зростання становить приблизно 68%.
Як децентралізоване кредитування спричинило шок ліквідності на 13 мільярдів доларів?
Суть атаки полягала не лише у викраденні токенів — зловмисник використав композитність DeFi для передачі ризику між протоколами. Підроблені rsETH були розподілені між сімома різними адресами і широко використані як застава у кредитних протоколах, таких як Aave та Compound. Оскільки ці rsETH не були забезпечені реальними ончейн-активами, їх використання як застави фактично означало впровадження "порожніх чеків" у кредитний ринок.
Після того, як цей фальшивий заставний актив дозволив отримати справжній ETH, ризик глибоко інтегрувався у механізми ліквідації кредитних протоколів, ліквідні резерви та безпеку депозитів користувачів. Aave опинився під подвійним тиском: по-перше, вартість rsETH як застави стала ненадійною, що різко збільшило ризик проблемної заборгованості; по-друге, паніка на ринку спонукала користувачів масово виводити ліквідність, ще більше обмежуючи здатність протоколу поглинати збитки. Після інциденту Arbitrum Security Council заморозила 30 766 ETH на гаманцях, пов’язаних із зловмисниками, що частково допомогло стримати подальші втрати.
Ще важливіше те, що ця подія висвітлила негативний бік "композитності" DeFi: у разі високої взаємопов’язаності протоколів структурний збій в одному може швидко перерости у системний ризик для всієї екосистеми. Врешті-решт, саме вкладники та крос-протокольні арбітражери несуть основні втрати.
Як рятувальний пул на 303 мільйони доларів став запобіжником для DeFi?
Станом на 27 квітня 2026 року ініціатива DeFi United Rescue, скоординована засновником Aave Стані Кулєчовим, залучила понад 303 мільйони доларів у вигляді зобов’язань. Капітальний пул охоплює ключових учасників екосистеми Ethereum і діє гнучко — через пожертви, депозити та кредитні лінії.
Зокрема, публічні зобов’язання включають: Consensys і засновник Джозеф Любін спільно пообіцяли до 30 000 ETH; Mantle надав кредитну лінію на 30 000 ETH; Aave DAO запропонувала 25 000 ETH; EtherFi пообіцяв до 5 000 ETH; Lido подала пропозицію щодо 2 500 stETH; Compound запропонував грант на 3 000 ETH; Renzo виділив понад 10 мільйонів доларів зі своєї скарбниці; Babylon Foundation приєдналася з депозитом у 3 мільйони USDT; Circle Ventures підтримала покупкою токенів AAVE; а також Avalanche Foundation, Solana Foundation і Джастін Сан також долучилися, суми їхніх внесків ще не розголошені.
Варто відзначити, що міжланцюговий протокол LayerZero приєднався до рятувальної ініціативи на п’ятий день інциденту, зобов’язавшись надати 10 000 ETH: 5 000 ETH як пряму пожертву до фонду DeFi United і ще 5 000 ETH — депозитом до Aave для підтримки ліквідності. 29 квітня Puffer Finance оголосила про використання коштів скарбниці для участі, ставши ключовим учасником ініціативи у секторі рестейкінгу.
Загальний обсяг рятувального пулу вже перевищив 100 360 ETH, що робить це найбільшим випадком координації капіталу між протоколами в історії DeFi — справжньою зміною парадигми у реагуванні галузі на системні кризи.
Від ліквідації фальшивої застави до пакетних обмінів ETH: як реалізується рятувальний план?
Рятувальний план альянсу DeFi United передбачає поетапне виконання, а головна мета — повністю відновити забезпечення rsETH активами та покрити проблемну заборгованість, залишену хакерами з КНДР у Aave та Compound. Основна ідея — поступово конвертувати закладені ETH назад у rsETH, щоб відновити їхню базову вартість. Перед цим протоколи тимчасово скоригують оракульну цінність rsETH як застави, щоб ініціювати контрольовані ліквідації. Токени, отримані внаслідок ліквідації, будуть переведені на мультипідписний гаманець DeFi United, а потім обміняні на ETH за стандартною процедурою Kelp, що дозволить покрити дефіцит фінансування на уражених кредитних ринках.
Ключовим є те, що план розроблено з урахуванням децентралізованого управління — більшість залучених коштів ще потребують формального схвалення через голосування DAO кожного протоколу, тому темпи реалізації залежать від паралельного просування кількох процесів управління.
Цей план не є "порятунком" для зловмисників, а спрямований на відновлення внутрішньої вартості застави та мінімізацію вторинних шоків для користувачів і ліквідності протоколів. Логіка проста: якщо DeFi дозволить незабезпеченим активам і надалі накопичувати проблемну заборгованість у кредитних протоколах, це зрештою підірве кредитну основу всієї екосистеми, а не лише окремого протоколу. Відтак, рятувальний механізм — це насамперед проактивне втручання у системний ризик, а не моральна оцінка окремих дій.
Коли конкуренти об’єднуються: чи змінює рятувальна операція механізм довіри у DeFi?
Унікальність рятувальної ініціативи DeFi United полягає у широті учасників і високому рівні міжінституційної співпраці. Понад 14 учасників екосистеми — включно з прямими конкурентами — розділили фінансову відповідальність у єдиній структурі. Така координація в галузі не нав’язується централізовано, а ґрунтується на прозорих ончейн-зобов’язаннях, акумуляції коштів через мультипідписні гаманці та поетапній технічній реалізації.
Традиційно конкуренція у DeFi зосереджувалася на прибутковості, масштабах ліквідності та стимулах управління. У нормальних ринкових умовах це сприяє розвитку продуктів і підвищенню ефективності. Але коли виникає системний ризик, окремі протоколи часто не мають змоги самостійно вирішити проблему "заразної проблемної заборгованості". Інцидент із Kelp DAO показав, що тісний зв’язок між міжланцюговими мостами і кредитними протоколами не дає змоги ізолювати ризик на рівні окремого протоколу.
Поява скоординованих рятувальних дій означає зсув у децентралізованих фінансах — від суто ринкової конкуренції до моделі колективної відповідальності. Це не чистий альтруїзм: частина учасників безпосередньо піддається ризику проблемної заборгованості, інші ж бояться обвалу довіри до екосистеми. Мотивації різні, але існує ефективний консенсус щодо головної мети — підтримки загальної кредитоспроможності DeFi. Хоча така координація не є остаточним вирішенням проблеми системного ризику, вона пропонує цінну модель для розвитку самовідновлюваної здатності DeFi.
Підсумок
Атака на міжланцюговий міст Kelp DAO із втратою 292 мільйонів доларів стала найбільшим інцидентом безпеки DeFi у 2026 році, причиною якого стала структурна вразливість інфраструктурного рівня — залежність від одного вузла-валідатора. Зловмисники обійшли традиційні вразливості смартконтрактів, націлившись на позаланцюговий шар валідації, чим виявили "сліпу зону" міжланцюгового моніторингу безпеки.
Рятувальна ініціатива DeFi United на чолі з Aave встановила новий рекорд координації капіталу між протоколами у DeFi: понад 303 мільйони доларів залучено від більш ніж 14 протоколів через пожертви, депозити та кредитні лінії — це демонструє здатність галузі до співпраці під час системних криз. Інцидент підкреслює ключову логіку: із поглибленням міжланцюгової взаємодії негативні ефекти композитності продовжуватимуть накопичуватися, а механізми оцінки ризиків у DeFi все ще суттєво відстають від еволюції інфраструктурної безпеки. Ефективність рятувальних механізмів у підсумку залежатиме від ефективності управління та стійкої участі всіх залучених сторін.
Часті запитання
Q: Як відбулася атака на Kelp DAO?
Зловмисник використав уразливість безпеки міжланцюгового мосту LayerZero від Kelp DAO, який покладався на єдиний вузол-валідатор. Підробивши вхідні повідомлення, зловмисник обманув логіку валідації, змусивши контракт мосту на стороні Ethereum помилково випустити 116 500 rsETH — приблизно на 292 мільйони доларів.
Q: Звідки фінансується рятувальна операція DeFi United?
Станом на 27 квітня у межах рятувального плану було залучено понад 303 мільйони доларів від учасників, серед яких Consensys, Lido, EtherFi, Mantle, Compound, Renzo, Babylon Foundation, LayerZero (10 000 ETH), Puffer Finance та десятки інших проєктів і установ.
Q: Як компенсують втрати власникам rsETH?
DeFi United поетапно конвертуватиме закладені ETH у rsETH для відновлення їхньої заставної вартості. Під час реалізації активи, що постраждали, будуть переведені на мультипідписний гаманець, а потім обміняні на ETH для покриття дефіциту на кредитних ринках. Решта коштів буде спрямована на компенсацію власникам rsETH.
Q: Який вплив цього інциденту на еволюцію безпеки DeFi?
Атака показала, що ризики безпеки DeFi виходять за межі вразливостей смартконтрактів і охоплюють позаланцюговий шар валідації міжланцюгової інфраструктури. Це означає, що традиційного моніторингу безпеки на ланцюгу вже недостатньо, і потрібні комплексніші системи моніторингу міжланцюгової незмінності для перевірки автентичності міжланцюгових повідомлень і відповідності блокування токенів у вихідних ланцюгах.
Q: Як протоколи DeFi можуть запобігти подібним атакам у майбутньому?
Є три основні напрямки: по-перше, налаштовувати для міжланцюгових мостів кілька незалежних вузлів-валідаторів, щоб усунути єдині точки відмови; по-друге, будувати надійні системи моніторингу цілісності міжланцюгових даних; по-третє, сприяти обміну ризиковою інформацією та скоординованим механізмам реагування між протоколами для протидії швидкому поширенню системного ризику.
