Крах моста KelpDAO: хакер спровоцировал кризис на 292 миллиона долларов и поставил под удар протокол Aave
Крупнейший взлом в секторе децентрализованных финансов 2026 года потряс криптосообщество, когда злоумышленник обнаружил критическую уязвимость в кроссчейн-мосте KelpDAO. Эксплуатация была направлена на механизм обмена сообщениями LayerZero, что позволило хакеру выпустить огромное количество токенов rsETH без фактического сжигания активов на стороне отправления. В результате атаки из протокола было выведено 116 500 rsETH, общая стоимость которых оценивается в 292 миллиона долларов. Ситуация мгновенно приобрела системный характер, так как украденные токены были немедленно внесены в качестве залога в крупнейший лендинговый протокол Aave V3. Под этот необеспеченный залог хакер успел занять значительные объемы ликвидного эфира (WETH), фактически превратив долг в неликвидный балласт внутри системы.
Основатель Aave Стани Кулешов подтвердил, что инцидент произошел вне смарт-контрактов его платформы, однако последствия для системы оказались крайне тяжелыми. Рынки rsETH были немедленно заморожены как в версии V3, так и в новой V4, чтобы предотвратить дальнейшее распространение «плохого долга», объем которого уже превысил 236 миллионов долларов. Реакция крупных держателей активов последовала незамедлительно: Джастин Сан в экстренном порядке вывел из Aave более 154 миллионов долларов в ETH, опасаясь каскадного краха. Суммарные риски Сана в протоколе сократились до 380 миллионов долларов, в то время как он начал перераспределять капитал в альтернативные системы безопасности. Ситуация остается критической, так как дыра в обеспечении может подорвать доверие к ликвидным деривативам стейкинга по всему рынку.
В попытке спасти индустрию от потрясений, Джастин Сан публично обратился к взломщику с предложением начать переговоры о возврате средств. По его словам, потеря такой суммы может уничтожить как KelpDAO, так и нанести непоправимый ущерб Aave, что не выгодно никому в долгосрочной перспективе. Эксперты по безопасности указывают, что причиной успеха атаки стала конфигурация с одним валидатором в системе KelpDAO, что сделало мост уязвимым для подделки сообщений. Этот случай стал вторым по масштабу после взлома Drift Protocol ранее в этом месяце, подтверждая, что безопасность мостов остается ахиллесовой пятой Web3. Отраслевые группы призывают к немедленному внедрению стандартов мульти-валидаторных проверок для предотвращения подобных катастроф в будущем.