Уразливість Kelp DAO викликає попередження щодо безпеки міжланцюгових мостів: DeFi United залучає 300 мільйонів доларів для компенсації власникам rsETH

2026 年 4 月 18 日 17:35 UTC，зловмисники використали уразливість rsETH-мосту Kelp DAO, побудованого на LayerZero міжланцюговій інфраструктурі, маскуючи вхідні пакети даних і випустивши 116 500 rsETH, тоді вартість яких становила приблизно 292 мільйони доларів США. Розслідування Chainalysis і ZachXBT одностайно вказують на північнокорейську групу Lazarus, яка застосувала комбінацію DDoS-атак на зовнішні вузли та маніпуляцій з внутрішніми RPC-нодами, щоб обійти безпеку мережі з одним вузлом перевірки.

Це не звичайна уразливість смарт-контракту — не було повторних атак, не було відсутності прав доступу, не було маніпуляцій з ціновими оракулами. Основний прорив зловмисника полягав у тому, що: Kelp DAO використовував конфігурацію з одним вузлом перевірки — єдиний валідатор LayerZero Labs DVN, що фактично створювало точку відмови.

Ця конфігурація не є унікальною. Чим простіша логіка міжланцюгового мосту, тим менше кількість валідаторів, щоб забезпечити швидкість підтвердження повідомлень і знизити Gas. Однак, коли лише один валідатор виконує функцію “свідка”, зломщик може атакувати цю ланку — будь то RPC-нод, сервер валідатора або операційні права співробітників — і обійти логіку міжланцюгової перевірки.

Ще більш тривожно, що методи зловмисника майже непомітні для традиційних моніторингових систем. Кожна транзакція у мережі виглядає цілком легітимною на рівні байт-коду: повідомлення передано, підпис підтверджено, смарт-контракт цільового ланцюга виконує правильну відповідь. Насправді, не змінюється смарт-контракт — змінюється зовнішній рівень перевірки, що визначає, чи має ця міжланцюгова операція бути схвалена.

Ці атаки демонструють суттєву зміну у безпековій межі DeFi: уразливості смарт-контрактів вже не є єдиним джерелом системних ризиків. Зовнішня інфраструктура міжланцюгових мостів — RPC-нод, мережі валідаторів, позасмарт-контрактні підписи — стає дедалі більшою атакуючою поверхнею. У 2026 році цей тренд прискорюється. Загалом, атаки Kelp DAO і Drift Protocol склали 95% від загальних збитків у квітні, що вказує на системний перехід цілей з окремих смарт-контрактів на всю інфраструктуру DeFi.

Варто зазначити, що за перші 4,5 місяці 2026 року у криптосфері сталося 47 хакерських атак, тоді як за аналогічний період 2025 року — 28, тобто зростання приблизно на 68%.

Чому один валідатор став фатальною тріщиною у структурі DeFi?

Інцидент з Kelp DAO виявив довгострокову недооцінку структурної проблеми: дисбаланс у безпеці міжланцюгових конфігурацій. У архітектурі LayerZero кожне міжланцюгове повідомлення має проходити через один або кілька децентралізованих мереж валідаторів для підтвердження, перш ніж досягти цільового ланцюга. Але rsETH-мост Kelp DAO був налаштований лише з одним валідатором — LayerZero Labs DVN, що створювало фактичну точку відмови.

Ця конфігурація не є винятковою. Чим простіша логіка міжланцюгового мосту, тим менше валідаторів він має — щоб забезпечити швидкість підтвердження і знизити Gas. Однак, коли лише один валідатор виконує функцію “свідка”, зломщик може атакувати цю ланку — будь то RPC-нод, сервер валідатора або операційні права співробітників — і обійти всю логіку міжланцюгової перевірки.

Ще більш тривожно, що методи зловмисника майже непомітні для традиційних систем моніторингу. Кожна транзакція у ланцюзі виглядає цілком легітимною: повідомлення передано, підпис підтверджено, смарт-контракт цільового ланцюга виконує правильну відповідь. Насправді, не змінюється смарт-контракт — змінюється зовнішній рівень перевірки, що визначає, чи має ця міжланцюгова операція бути схвалена.

Ці атаки демонструють важливий зсув у безпеці DeFi: уразливості смарт-контрактів вже не є єдиним джерелом системних ризиків. Зовнішня інфраструктура — RPC-нод, мережі валідаторів, позасмарт-контрактні підписи — стає дедалі більшою атакуючою поверхнею. У 2026 році цей тренд прискорюється. Загалом, 95% збитків у квітні припадає на атаки Kelp DAO і Drift Protocol, що свідчить про системний перехід цілей з окремих смарт-контрактів на всю інфраструктуру DeFi.

Значно, що за перші 4,5 місяці 2026 року у криптосфері сталося 47 хакерських атак, тоді як за аналогічний період 2025 року — 28, тобто зростання приблизно на 68%.

Як децентралізоване кредитування сприяє ланцюговій передачі 13 мільярдів доларів ліквідності?

Суть атаки — не просто крадіжка токенів, а реалізація ризиків через міжсистемну комбінацію DeFi. Підроблений rsETH розподілений зловмисником на 7 різних адрес, використовується як заставу у протоколах Aave і Compound та інших кредитних платформах. Оскільки ці rsETH не мають реальної підтримки у ланцюзі, їх використання як застави фактично є “порожнім чековим книжкою” для всього кредитного ринку.

Коли ці підроблені застави використовуються для позичання реального ETH, ризики тісно пов’язані з механізмами ліквідації, резервами та безпекою депозитів користувачів. Aave опиняється під двома видами тиску: по-перше, через ненадійність вартості rsETH як застави, що підвищує ризик непогашення боргів; по-друге, через паніку на ринку, яка спричиняє масове вилучення ліквідності і зменшує можливості протидії непогашенню. Після інциденту безпекова рада Arbitrum заморозила 30 766 ETH з рахунків зловмисника, що частково обмежило подальше розповсюдження збитків.

Ще важливіше, що цей випадок демонструє негативний ефект “комбінованості” у DeFi: коли міжпротокольна залежність дуже висока, системна несправність одного елемента швидко перетворюється у системний ризик у всій екосистемі, і вартість цього несе не лише позичальник, а й депозитори та арбітражні учасники.

Як 3,03 мільярда доларів у пулі забезпечують безпеку DeFi?

Станом на 27 квітня 2026 року, ініціатива DeFi United під керівництвом Стані Кулечова зібрала понад 303 мільйони доларів у зобов’язаннях. Джерела фінансування — різноманітні учасники Ethereum-екосистеми, у формі пожертв, депозитів і кредитних ліній.

Зокрема, публічні зобов’язання включають: Consensys і засновник Joseph Lubin — до 30 000 ETH; Mantle — 30 000 ETH кредиту; Aave DAO — 25 000 ETH; EtherFi — до 5 000 ETH; Lido — 2 500 stETH у рамках управлінської пропозиції; Compound — 3 000 ETH; Renzo — понад 10 мільйонів доларів у сейфі; Babylon Foundation — 3 мільйони USDT; Circle Ventures — підтримка через купівлю токенів AAVE; а також Avalanche Foundation, Solana Foundation і Сон Юйчень, суми ще не оголошені.

Важливо, що LayerZero, міжланцюговий протокол, після інциденту на 5-й день пообіцяв 10 000 ETH у рамках допомоги, з яких 5 000 ETH — безпосередньо пожертви для фонду DeFi United, і ще 5 000 ETH — внесені у Aave для підсилення ліквідності. Puffer Finance 29 квітня оголосила про залучення коштів із резерву для участі у цій ініціативі.

Загальний обсяг фонду вже перевищує 100 360 ETH. Це найбільша в історії DeFi координація міжпротокольних коштів, що свідчить про новий рівень колективної реакції на системні кризи.

Як поетапно реалізувати порятунок через заміну ETH і відновлення застав?

План DeFi United передбачає поетапне виконання, з головною метою — повністю відновити підтримку активів для rsETH і закрити непогашені борги, залишені північнокорейським хакером у протоколах Aave і Compound. Основна ідея — поступово перетворювати обіцяні ETH у rsETH, щоб відновити їхню базову цінність. Перед цим, протокол тимчасово коригує цінові оракули для rsETH, щоб запустити контрольовану ліквідацію. Зібрані під час ліквідації токени будуть спрямовані до мультипідписного гаманця DeFi United, потім через стандартний процес Kelp обміняні на ETH і використані для покриття дефіциту у кредитних ринках.

Ще важливіше, що весь план враховує реальні обмеження децентралізованого управління — більшість зобов’язань все ще потребують схвалення через голосування DAO кожного протоколу, тому реалізація залежить від швидкості проходження цих процесів.

Цей підхід не спрямований на те, щоб “заплатити” зловмиснику, а навпаки — відновити внутрішню цінність застав і зменшити вторинний удар по користувачах і ліквідності протоколів. Логіка полягає у тому, що якщо дозволити беззаставним активам безконтрольно накопичувати непогашені борги, постраждає вся кредитна репутація системи, а не окремий протокол. Тому механізм порятунку — це активне втручання у системний ризик, а не моральна оцінка дій.

Чи змінює співпраця конкурентів довіру до DeFi?

Унікальність ініціативи DeFi United у тому, що у ній беруть участь понад 14 гравців — багато з яких є прямими конкурентами у різних сегментах — і всі разом несуть фінансову відповідальність у рамках єдиного механізму. Це не централізоване рішення, а прозора, багатостороння координація через смарт-контракти, мультипідписні гаманці і поетапне виконання.

У традиційному DeFi конкуренція здебільшого зосереджена на доходності, ліквідності і гілках управління. Вона стимулює інновації і підвищення ефективності. Але у разі системних ризиків, коли один протокол не може самостійно ізолювати “інфекцію”, потрібна колективна відповідальність. Інцидент з Kelp DAO показує, що глибока залежність між мостами і кредитними протоколами робить ризики системними, і їх неможливо локалізувати на рівні окремих смарт-контрактів.

З’явлення такої ініціативи — це перехід від чисто ринкової конкуренції до моделі з колективною відповідальністю. Це не лише альтруїзм — у ній беруть участь і протоколи, що мають ризики, і ті, що бояться втратити довіру. Взаємна підтримка базується на спільній меті — збереженні цілісності системи. Такий досвід може не бути універсальним рішенням, але він відкриває новий рівень здатності DeFi до самовідновлення.

Висновки

Злом мосту Kelp DAO на 2,92 мільярда доларів — найбільша у 2026 році DeFi-інцидент, що виник через структурну уразливість у конфігурації з одним валідатором. Зловмисник вийшов за межі традиційних уразливостей смарт-контрактів, зосередившись на зовнішньому рівні верифікації, що відкриває нові вразливості у міжланцюговій безпеці.

Ініціатива DeFi United під керівництвом Aave зібрала понад 303 мільйони доларів у межах найбільшої в історії координації міжпротокольних коштів, залучивши понад 14 протоколів через пожертви, депозити і кредитні лінії. Це демонструє здатність галузі швидко реагувати на системні кризи. Водночас, ця подія підтверджує, що з поглибленням міжланцюгової взаємодії, негативні ефекти комбінаційних ризиків будуть зростати, а механізми ціноутворення і безпеки — відставати у розвитку. Ефективність порятунку залежить від швидкості управління і здатності учасників виконувати зобов’язання.

Часті питання

Питання: Як стався злом Kelp DAO?

Відповідь: Зловмисники використали уразливість конфігурації з одним валідатором LayerZero, підробивши вхідні повідомлення, що змусило мостовий контракт Ethereum вважати, що міжланцюгова трансферія завершена, і випустили 116 500 rsETH на суму близько 292 мільйонів доларів.

Питання: Звідки взялися кошти для DeFi United?

Відповідь: Понад 303 мільйони доларів у зобов’язаннях, зібраних від понад 14 учасників, включаючи Consensys, Lido, EtherFi, Mantle, Compound, Renzo, Babylon Foundation, LayerZero (10 000 ETH), Puffer Finance та ін.

Питання: Як отримають компенсацію власники rsETH?

Відповідь: План — поетапно перетворювати ETH у rsETH для відновлення їхньої цінності. Після цього, активи будуть переведені до мультипідписного гаманця, обміняні на ETH і використані для покриття боргів. Залишки підуть на компенсацію.

Питання: Як ця подія вплине на безпеку DeFi?

Відповідь: Вона показує, що ризики у DeFi поширюються з смарт-контрактів на зовнішню інфраструктуру — RPC-нод, мережі валідаторів, позасмарт-контрактні підписи. Це вимагає нових підходів до моніторингу і захисту.

Питання: Як протоколи можуть запобігти подібним атакам у майбутньому?

Відповідь: Впроваджувати кілька незалежних валідаторів для міжланцюгових мостів, створювати системи цілісності даних, а також розвивати механізми обміну ризиковою інформацією і колективного реагування.