#KelpDAOBridgeHacked

Найбільший DeFi-експлойт 2026 року – злив rsETH-мосту Kelp DAO на $292 Мільйонів
18 квітня 2026 року приблизно о 17:35 за UTC протокол ліквідності для повторного залучення Kelp DAO зазнав серйозної зломної атаки через свій міжланцюговий міст, що працює на LayerZero. Зловмисник успішно злив 116 500 rsETH (повторно залученого Ефіру), оцінюваних приблизно у 292–293 мільйони доларів. Ця сума становила приблизно 18% від загального обігу rsETH і є найбільшим записаним зломом у DeFi у 2026 році.
Як розгорталася атака
Міст rsETH Kelp DAO базувався на інфраструктурі міжланцюгових повідомлень LayerZero, зокрема на контракті EndpointV2, для забезпечення безшовних переказів активів між різними блокчейнами. Зловмисник використав цю систему, викликавши функцію lzReceive та вставивши підроблене міжланцюгове повідомлення. Це маніпулятивне повідомлення змусило логіку перевірки мосту повірити, що легітимні кошти надійшли з іншої мережі, що спричинило випуск 116 500 rsETH безпосередньо на адресу, контрольовану зловмисником.
Гаманець, використаний у зломі, був поповнений через Tornado Cash приблизно за 10 годин раніше — поширена техніка для приховування походження транзакцій. Міст був активний у мережі Ethereum і кількох мережах Layer-2, зокрема Arbitrum, що сприяло швидкому міжланцюговому впливу. Аналітики вказують на надмірну залежність від стандартних налаштувань і документації LayerZero як на фактори, що сприяли цьому.
Швидка реакція Kelp DAO
Команда Kelp DAO швидко виявила підозрілу активність і оприлюднила заяву:
«Ми виявили підозрілу міжланцюгову активність, пов’язану з rsETH. Поки триває розслідування, ми призупинили контракти rsETH у мережі mainnet і кількох мережах L2. Ми тісно співпрацюємо з LayerZero, Unichain, нашими аудиторами та провідними експертами з безпеки для аналізу причин інциденту.»
Завдяки негайному призупиненню контрактів rsETH протокол запобіг потенційним подальшим зливам, оціненим у додаткові $100 мільйонів або більше. Однак втрата ліквідності серйозно вплинула на цінність rsETH і залишила обгорнуті ETH активи у більш ніж 20 різних ланцюгах.
Ланцюгова реакція у DeFi та криза ліквідності
Злом викликав поширену «банківську паніку» у екосистемі DeFi. Основні платформи кредитування, такі як Aave, активували екстрені замороження ринків, з приблизно $9 мільярдами (близько 33% їхнього TVL) було виведено, а також створено близько $196–236 мільйонів у поганому боргу. Аналогічний тиск на ліквідність відчули протоколи, такі як SparkLend, Fluid, Upshift, Morpho та інші.
Загальна заблокована в DeFi сума (TVL) зменшилася на 8–13 мільярдів доларів за 48 годин, навіть у деяких пуллах Solana спостерігався стрес. Інцидент знову підкреслив вразливість міжланцюгових мостів як однієї з найуразливіших складових інфраструктури DeFi. Лише у квітні 2026 року зломи перевищили $600 мільйонів у загальних збитках, причому подія Kelp DAO перевищила попередній рекорд, встановлений інцидентом Drift Protocol (приблизно $280–286 мільйонів) всього три тижні тому.
Спекуляції навколо Lazarus Group та поточне розслідування
Кілька компаній з безпеки та аналітиків на блокчейні висловили можливі зв’язки з північнокорейською групою Lazarus Group, а LayerZero також вказала на відповідні сигнали. Офіційного підтвердження поки що не надано. Частина вкрадених коштів вже обміняна на ETH у Ethereum і Arbitrum, оскільки зловмисник намагається приховати слід; пошуки слідів тривають.
Уроки для галузі
Злом мосту Kelp DAO підкреслює значні ризики, пов’язані з повторним залученням ліквідності та архітектурою омніланцюгових мостів. Хоча LayerZero та подібні рішення забезпечують потужну взаємосумісність, вони залишаються вразливими до точок відмови та атак підробки повідомлень.
Kelp DAO пообіцяла опублікувати детальний звіт про розслідування після завершення повного аналізу. Для користувачів і розробників DeFi цей інцидент є яскравим нагадуванням про необхідність посилення безпеки мостів, впровадження надійних систем багатоверфіфікаторів і покращення протоколів реагування на надзвичайні ситуації.