Експлойт Kelp DAO на $292 мільйони викликав хвилю реакцій у криптоіндустрії, розробники та трейдери попереджають, що інцидент виявив глибші вади в тому, як побудовані DeFi (Децентралізовані фінанси).
Дані, якими поділилися учасники ринку, показують, що негайні наслідки поширилися далеко за межі зламаного протоколу.
"Злом rsETH призводить до зняття коштів у всіх протоколах кредитування, навіть на solana та незачеплених протоколах", — сказав 0xngmi в одному з дописів у неділю, вказуючи на різкий відтік, включаючи "Aave: -6 200 млн (-23%) чистого притоку" та менші, але помітні падіння у Morpho, Sky та JupLend. rsETH — це рестейкінг-токен ліквідності протоколу рестейкінгу Kelp DAO, який дозволяє користувачам отримувати винагороди за стейкінг та рестейкінг ефіру, зберігаючи свої активи ліквідними, навіть коли вони заблоковані в стейкінгу.
Цей тиск швидко перетворився на щось більш серйозне. Один широко розповсюджений допис Josu San Martin описав каскадний стрес ліквідності всередині ринків кредитування: "Вкладники ETH не можуть зняти ETH, тому вони позичають стейблкоїни, щоб 'зняти' кошти... Це повномасштабне масове зняття на AAVE."
Хоча Стані Кулечов, засновник Aave, сказав, що експлойт був зовнішнім і що контракти протоколу не були скомпрометовані, вкладники панікували. Загальна заблокована вартість (або депозити) впала з $26,4 мільярда 18 квітня до майже $20 мільярдів у ранкові години неділі в США, за даними DefiLlama. Токен AAVE також впав більш ніж на 18%, оскільки вкладники намагалися зняти свої гроші протягом вихідних.
Ціна токена Aave (CoinDesk)«Кейс-стаді»
Сам експлойт став центральною точкою уваги для інженерів і розробників.
Кілька розробників відкинули ранні припущення про те, що проблема виникла з основної інфраструктури. "Експлойт KelpDAO (~$290 млн) — це НЕ помилка протоколу LayerZero. Це проблема конфігурації та кейс-стаді, на який має подивитися кожен проєкт із кросчейн токеном сьогодні", — йдеться в одному з технічних розборів від cryptogoblin.
Тред детально описав, як одна точка верифікації уможливила атаку. "Один підпис — і 116 500 rsETH з'явилися з нічого на Ethereum", — сказано в дописі, описуючи систему, де "смартконтракти не були зламані. Рівень верифікації був", — стверджується в дописі.
Інші стверджували, що проблема є глибшою, ніж один вибір налаштування.
Один критик, відомий як Fishy Catfish на X, охарактеризував це як недолік дизайну, стверджуючи, що: "немає мінімального рівня безпеки... Конфігурація може бути 1/1 DVN, і DVN, який ви обрали, може бути одним вузлом, керованим однією організацією". DVN (Децентралізована мережа верифікаторів) у DeFi (Децентралізовані фінанси), зокрема в LayerZero V2, є незалежною організацією, відповідальною за перевірку та підтвердження автентичності повідомлень, надісланих через різні блокчейн-мережі. По суті, DVN перевіряють хеші повідомлень між вихідним ланцюгом і ланцюгом призначення.
Щоб зробити думку зрозумілішою, автор навів реальне порівняння: "уявіть, якби виробник американських гірок дозволяв парками розваг індивідуально вирішувати, якими мають бути мінімальні специфікації безпеки". По суті, автор просто говорить, що гнучкість без обмежень може створювати приховані ризики.
Допис зайшов настільки далеко, що заявив, що налаштування було проблемою всередині дизайну. "Я особисто вважаю, що це недосконалий дизайн. Модульна безпека є вартісним простором дизайну, однак діапазон безпеки повинен мати власний мінімальний рівень безпеки, який є досить міцним, а потім дозволяти *додаткове* нашарування безпеки поверх нього для випадків використання з вищою вартістю."
«DeFi померли»
Не лише обсяг і складність експлойту викликали жорстку, панічну критику. Масштаб експлойту посилив занепокоєння.
Приблизно 116 500 rsETH, близько 18% пропозиції, були вражені. Зловмисник обдурив кросчейн-рівень обміну повідомленнями LayerZero, змусивши його повірити, що надійшла дійсна інструкція з іншої мережі, що спровокувало кросчейн міст Kelp випустити 116 500 rsETH на адресу, контрольовану зловмисником.
Протоколи відреагували заморожуванням ринків і призупиненням функцій. Aave зупинив активність rsETH. Lido призупинив депозити, пов'язані з активом. Інші проєкти вжили подібних заходів для обмеження впливу в міру розвитку ситуації.
Окрім технічної дискусії, настрої в криптоспільноті різко стали негативними. Один допис, можливо, зафіксував зміну настрою в прямих формулюваннях: "DeFi померли... 'просто використовуй aave' померло", додаючи, що "ера криптовалют закінчилася" та запитуючи: "Якщо ви це читаєте — чому ви все ще в криптовалютах?"
Хоча відповідь може здаватися надмірною реакцією, такого роду «імпульсивна» реакція не є незвичайною після великих експлойтів, але масштаб цієї події виділяється.
Атака одночасно вплинула на кросчейн інфраструктуру, моделі рестейкінгу та ринки кредитування. Вона також слідує за низкою недавніх інцидентів. Злом відбувся в незвично ворожий період для DeFi (Децентралізовані фінанси), особливо цього місяця. Протокол перпетуалів на базі Solana Drift був осушений приблизно на $285 мільйонів 1 квітня в атаці, пізніше пов'язаній з акторами, афілійованими з Північною Кореєю, і щонайменше дюжина менших протоколів була експлуатована за останні тижні, включаючи CoW Swap, Zerion, Rhea Finance та Silo Finance.
«Перевірте свої конфігурації»
Незважаючи на всі пояснення, питань все ще більше, ніж відповідей.
Навіть LayerZero все ще намагається з'ясувати повні деталі експлойту. "Ми повністю обізнані про експлойт rsETH і перебуваємо в активному виправленні з командою @KelpDAO з моменту інциденту і продовжуємо моніторити. Всі інші додатки залишаються безпечними", — сказано в дописі на X. "Ми все ще визначаємо основну причину разом з @_SEAL_Org та іншими. Ми опублікуємо повний посмертний аналіз з @KelpDAO, як тільки матимемо всю інформацію."
KelpDAO відлунював цю думку. "Сьогодні раніше ми виявили підозрілу кросчейн активність, пов'язану з rsETH. Ми призупинили контракти rsETH у мейннеті та кількох L2, поки ми розслідуємо. Ми працюємо з @LayerZero_Core, @unichain, нашими аудиторами та провідними експертами з безпеки над RCA. Ми будемо інформувати вас, коли дізнаємося більше про цю ситуацію."
Тим не менш, деякі розробники бачать чіткіший урок у хаосі.
Експлойт не покладався на злам шифрування чи обхід смартконтрактів. Натомість він виявив, наскільки крихкими можуть стати системи, коли вони залежать від багаторівневих припущень.
Простими словами, інструменти працювали як призначено. Спосіб їх налаштування — ні.
Ця відмінність може формувати те, що станеться далі. Будівельники тепер закликають проєкти переглянути свої налаштування, особливо ті, що покладаються на кросчейн обмін повідомленнями.
Як прямо висловився cryptogoblin: "Перевірте свої конфігурації. Будьте обережні."
Читайте більше: прибутковість DeFi падає настільки сильно, що не може конкурувати з традиційним ощадним рахунком
Джерело: https://www.coindesk.com/news-analysis/2026/04/19/defi-is-dead-crypto-community-scrambles-after-usd292-million-hack-exposes-cross-chain-risks
