Взлом Kelp DAO привёл к убыткам в размере 293 миллионов долларов.

Протокол ликвидного рестейкинга Kelp DAO стал жертвой крупнейшей хакерской атаки в сфере DeFi в 2026 году. Злоумышленник украл 116 500 $rsETH на сумму 293 миллиона долларов, используя уязвимость в контракте OFT, работающем на платформе LayerZero. Вместо простого обмена хакер мгновенно перевел украденные токены в Aave (а также в Compound V3 и Euler) и занял чистые WETH/ETH на сумму более 236 миллионов долларов.

__КОРОТКИЙ_ТОКЕН_0__

Это вызвало цепную реакцию. Накопление огромного объема безнадежных долгов (оцениваемых в 177–280 миллионов долларов) в пулах Aave вызвало панику среди крупных инвесторов. По данным Lookonchain, из протокола было выведено более 5,4 миллиарда долларов активов в ETH. Использование пулов WETH достигло 100%, TVL Aave упал более чем на 6 миллиардов долларов (с более чем 26 миллиардов долларов до примерно 22 миллиардов долларов), а токен $AAVE обвалился на 20% за 24 часа.

__КОРОТКИЙ_ТОКЕН_1__

Как разворачивалась хакерская атака

Атака произошла в 17:35 UTC с помощью поддельного межсетевого сообщения в LayerZero (функция lzReceive). Злоумышленник создал фальшивую инструкцию из контракта узла (предположительно, на Unichain), в результате чего адаптер OFT Kelp DAO выпустил 116 500 rsETH (18% от всего объема обращающихся в обращении средств) напрямую из эскроу-счета без какого-либо реального обеспечения.

Это была не классическая ошибка смарт-контракта в самом Kelp, а эксплойт на уровне моста, использующий проверку DVN с точностью до 1 из 1.

Хакер так и не продал rsETH на децентрализованных биржах (DEX). Вместо этого он немедленно использовал токены в качестве залога на нескольких кредитных платформах и вывел реальные ETH. Всего за 46 минут Kelp DAO приостановила контракты, а две последующие попытки хакера (еще около 200 миллионов долларов) были успешно заблокированы.

Реакции протокола

• Kelp DAO немедленно приостановила все контракты rsETH в основной сети Ethereum и во всех L2-сетях (Arbitrum, Base, Scroll и т. д.). Официальное заявление: «Мы работаем с LayerZero, аудиторами и экспертами по безопасности над анализом первопричин».
• Aave заморозила все рынки rsETH как на V3, так и на V4. Основатель Стани Кулечов подчеркнул: «Сам Aave не был взломан — проблема в использовании rsETH в качестве залога».
• Компании SparkLend, Fluid и Upshift также ввели чрезвычайные ограничения.

Влияние на рынок

• rsETH на L2 теперь сталкивается с серьезным риском депривации, поддержка основной сети скомпрометирована.
• В целом, из-за широко распространенной паники объем децентрализованных финансовых операций (DeFi TVL) сократился более чем на 10 миллиардов долларов.
• Это уже второй взлом на девятизначную сумму за месяц (после взлома Drift Protocol на 285 миллионов долларов). 2026 год, похоже, побьет все рекорды по объему взломов DeFi.

Хакер начал отмывать средства через Tornado Cash. Возвращение активов в настоящее время представляется маловероятным, хотя основатель Tron Джастин Сан публично предложил «поговорить» со злоумышленником.