DeFi Топ 20 загальних блокчейнів TVL зазвичай відкотилися: уразливість Kelp DAO спричинила кризу довіри до міжланцюгових мостів

DeFi галузь у квітні 2026 року зазнала найсерйознішого за рік безпекового удару. 18 квітня 2026 року о 17:35 за UTC протокол повторного залучення ліквідності Kelp DAO, побудований на LayerZero, зазнав масштабної атаки на міжланцюговий міст rsETH. Зловмисник у мережі Ethereum безпідставно створив близько 116 500 rsETH, оцінюючи їхню вартість приблизно у 292 мільйони доларів США за тодішнім ринковим курсом, що становить близько 18% від загальної циркуляції rsETH. Ця атака стала найбільшою за масштабом у 2026 році та спричинила хвилю відтоку капіталу по всій галузі: загальний заблокований обсяг DeFi з початку року знизився з приблизно 1100 мільярдів доларів до близько 824 мільярдів, що становить зниження приблизно на 25%, до найнижчого рівня за рік. На відміну від попередніх атак на окремі протоколи, ця подія глибоко розкрила потрійний ефект уразливості: ризики конфігурації міжланцюгової інфраструктури, логіка застави повторного залучення активів та структура тісної взаємозалежності протоколів DeFi, що вимагає глибокого аналізу всією галуззю.

Повна картина атаки за 46 хвилин

Атака сталася 18 квітня 2026 року о 17:35 за UTC. Зловмисник, отримавши початкові кошти через Tornado Cash, викликав функцію lzReceive у контракті LayerZero EndpointV2, передавши підроблене міжланцюгове повідомлення у смарт-контракт мосту, розміщений у мережі Ethereum. Це повідомлення стверджувало, що на вихідному ланцюгу rsETH активи заблоковані, і вимагало від цільового ланцюга звільнити рівну кількість rsETH. Контракт не виконував суворої перевірки джерела міжланцюгового повідомлення і безпосередньо виконав операцію звільнення, перерахувавши 116 500 rsETH на адресу, контрольовану зловмисником.

Ключовою уразливістю атаки стала подальша дія: хакер не продав одразу цю кількість rsETH на вторинному ринку — оскільки ліквідність останнього була обмеженою і великі обсяги продажу спричинили б значний проскок — а використав цю суму як заставу у протоколах Aave V3 та V4, Compound V3 та інших популярних кредитних платформах, позичивши близько 236 мільйонів доларів США у реальному WETH/ETH.

Приблизно через 46 хвилин після початку атаки Kelp DAO через мультипідпис активував режим надзвичайної зупинки, успішно зупинивши дві наступні спроби виведення ще близько 80 000 rsETH, запобігши подальшому збитку. Після цього Aave терміново заблокував усі ринки, пов’язані з rsETH, на V3 та V4, а Ethena, Curve Finance, ether.fi та інші протоколи призупинили або заморозили функції міжланцюгової взаємодії LayerZero.

Хронологія атаки

Повний огляд даних у блокчейні: перші двадцять основних ланцюгів під тиском

За даними останнього звіту DeFiLlama (станом на 21 квітня 2026 року), загальний заблокований обсяг у DeFi після атаки знизився до приблизно 824 мільярдів доларів США, що на 5.6% менше за добу. Це зниження є одним із найсерйозніших за весь період з 2024 року, і близьким до 2-го перцентиля за всім історичним рядом. За секторами найбільше постраждали кредитні протоколи — зменшення TVL приблизно на 13%; у сегменті децентралізованих стейблкоінів — близько 3.4%; у децентралізованих біржах та деривативах — від 2% до 3%.

Ethereum, що займає понад 53.91% від загального TVL у DeFi, за останні 30 днів знизився на 17.91%, і зараз його заблокований обсяг становить близько 46.17 мільярдів доларів, що суттєво менше за понад 56 мільярдів перед початком хвилі атаки. У перших двадцяти ланцюгах, окрім кількох, що показали незначне зростання, більшість демонструють місячне зниження, що свідчить про прискорення відтоку капіталу після події.

По-перше, сама атака посилила вже існуючу тенденцію відтоку капіталу. Ethereum за місяць знизився на 17.91%, що додатково погіршило ситуацію через зниження ринкових ризиків. По-друге, деякі ланцюги показали незначне відновлення за тиждень (наприклад, Sei +7.85% за 7 днів, PulseChain -0.24% за 7 днів, але за місяць +13.77%), що свідчить про часткове переорієнтування капіталу між ланцюгами для хеджування ризиків. По-третє, найбільше зниження за місяць зафіксували ланцюги, тісно пов’язані з екосистемою Ethereum для повторного залучення активів або міжланцюговими мостами, наприклад Mantle (-52.01%), Ethereal (-18.55%), Hyperliquid L1 (-17.73%), що відображає цілеспрямований вплив через протокольне взаємозв’язання.

Витоки уразливості: ігнорована точка конфігурації

Головна уразливість цієї атаки полягала не у помилках у коді смарт-контрактів, а у неправильній безпечній конфігурації параметрів розгортання. Контракт міжланцюгового мосту rsETH у Kelp DAO використовував конфігурацію 1/1 DVN (Decentralized Verifier Network, децентралізована мережа верифікаторів), тобто для підтвердження міжланцюгового повідомлення достатньо було одного валідатора. За рекомендаціями офіційної документації LayerZero, стандартною є конфігурація 2/2 з мульти-верифікацією.

Зловмисник отримав доступ до RPC-списку вузлів LayerZero DVN, зламав два незалежних кластерів RPC та замінив їхні бінарні файли op-geth. Потім застосував селективну обманну тактику, підробляючи дані лише для DVN, у той час як для інших IP-адрес повертав реальні дані, щоб уникнути виявлення. Одночасно він атакував DDoS-ом не зламані RPC-ноді, змушуючи DVN перейти до зламаних вузлів. Після успішної підробки повідомлень зловмисник знищив зловмисний бінарний файл, щоб приховати сліди.

LayerZero Labs у своїй пізнішій заяві припустила, що атака могла бути здійснена групою Lazarus із Північної Кореї, зокрема групою TraderTraitor, яка раніше була пов’язана з атакою Drift Protocol цього місяця. Вони наголосили, що ця подія торкнулася лише конфігурації rsETH у Kelp DAO, тоді як інші застосування з мультиDVN залишилися цілісними, і протокол не має вразливостей.

Питання відповідальності

Після події виникли суперечки між Kelp DAO, LayerZero і Aave щодо відповідальності. LayerZero вважає, що винною є саме Kelp DAO через використання конфігурації 1/1 DVN, що є очевидною точкою відмови. Засновник Kelp DAO Charlie у Twitter визнав, що команда помилилася, обравши таку конфігурацію, і пообіцяв повністю компенсувати всіх постраждалих, відмовившись від ідеї «соціального розподілу збитків».

У той же час, розробник banteg із команди Yearn Finance поставив під сумнів визначення LayerZero атаки як «RPC-отруєння», вказуючи, що зловмисник фактично проник у довіру LayerZero і недооцінив серйозність ситуації. Треті сторони вважають, що хоча 1/1 DVN — це вибір Kelp DAO, LayerZero як розробник базової міжланцюгової інфраструктури має нести частину відповідальності за архітектурний дизайн.

Звертає на себе увагу, що команда ризик-менеджменту Aave BGD Labs ще у січні минулого року попереджала про проблеми конфігурації DVN у Kelp DAO, але команда не внесла суттєвих змін, а Aave не здійснювала подальшого контролю. Це свідчить про структурний розрив між попередженнями та їхнім впровадженням.

Вплив на галузь: збитки Aave та ланцюгова реакція протоколів

Aave зазнав найбільших втрат у цій події. Зловмисник використав викрадені rsETH як заставу для позик ETH у Aave, що спричинило непогашені борги на суму від 177 до 196 мільйонів доларів, які не вдалося повернути через автоматичне ліквідаційне механізми. Водночас, у кількох ринках Aave рівень використання ETH досяг 100%, що викликало масовий вихід коштів.

За перші 48 годин після атаки TVL Aave знизився з приблизно 26.4 мільярдів до 17 мільярдів доларів, що становить зниження на 9.45 мільярдів і є найрізкішим за короткий період від початку роботи протоколу. Ціна токена AAVE знизилася приблизно на 10–20%.

Станом на 21 квітня 2026 року ціни за даними Gate: AAVE — близько 105.73 доларів, ETH — близько 2309 доларів. Всі ціни оновлюються у реальному часі.

Ланцюгова реакція: перелік наслідків

Крім Aave, кілька інших протоколів вжили екстрених заходів. Ethena продовжила тимчасову зупинку мосту LayerZero OFT; Curve Finance призупинила роботу LayerZero інфраструктури, що вплинуло на мостинг CRV з BNB, Sonic, Avalanche; ether.fi і Tron DAO також заморозили свої LayerZero OFT мости; SparkLend і Fluid заблокували позиції, пов’язані з rsETH. Compound V3 зазнав збитків на близько 39.4 мільйонів доларів, Euler — близько 840 тисяч.

Ця ланцюгова реакція виявила структурну слабкість DeFi: активи типу LRT (наприклад, rsETH), що є обгортками, сильно залежать від безпеки міжланцюгових мостів. Коли базовий рівень активів у таких протоколах виявляється уразливим, наслідки швидко поширюються через взаємозв’язки протоколів, створюючи ефект «доміно». Це демонструє високий рівень асиметричного посилення ризиків у системі DeFi.

Три шляхи вирішення проблеми непогашених боргів і дилеми

Засновник DeFiLlama 0xngmi запропонував три сценарії реагування на наслідки Kelp DAO:

Перший шлях: соціальне розподілення збитків. Kelp DAO пропонує зменшити баланс кожного власника rsETH пропорційно, приблизно на 18.5%. Це призведе до повного списання прав на всі застави rsETH у мережі Aave, створить непогашений борг у 216 мільйонів доларів. Протокол Umbrella може покрити близько 55 мільйонів доларів, а казна Aave — ще 85 мільйонів, тоді як залишок у 76 мільйонів потрібно буде покрити через позики або продаж токенів.

Другий шлях: відмова від користувачів L2. Kelp DAO гарантує лише права власників rsETH у мережі Ethereum, а активи на L2 вважає безвартісними. У мережі L2, наприклад, Arbitrum, Mantle, Base, загалом близько 359 мільйонів доларів застав rsETH. За максимальним кредитним плечем, це може спричинити борг у 341 мільйон доларів і повну втрату покриття Umbrella. Найімовірніше, протокол відмовиться від найбільших L2-ринків.

Третій шлях: повернення до стану до атаки за допомогою швидкого знімання. Kelp DAO може повернути всі активи, що були на момент атаки, але це ускладнено тим, що кошти швидко перетікають між протоколами, а технологічно важко відрізнити нові купівлі або перекази. Тому цей сценарій є найменш реалістичним.

Кожен шлях має свої плюси і мінуси: перший — найбільш справедливий, але вимагає великих витрат; другий — мінімізує вплив на мережу Ethereum, але шкодить репутації L2; третій — теоретично найменш шкідливий, але практично майже неможливий. На 21 квітня 2026 року, засновник Kelp DAO заявив про намір повністю компенсувати користувачам збитки, але конкретні механізми і джерела фінансування ще не оголошені. Реальний сценарій залежить від подальшого розвитку.

Висновки

Атака на міжланцюговий міст Kelp DAO із збитками у 292 мільйони доларів стала найсерйознішою системною кризою у DeFi у 2026 році. Відтік капіталу з провідних ланцюгів, масові заморожування протоколів і зниження TVL створюють картину масштабної кризи ліквідності.

Глибше, ця подія показала, що проблема полягає не лише у вразливостях смарт-контрактів, а у структурних недоліках міжланцюгової інфраструктури, логіки застави та високої взаємозалежності протоколів. Небезпечні конфігурації, ризики у конфігурації LRT-активів і прогалини у безпеці конфігураційних рішень створюють складну систему структурних проблем.

З точки зору безпеки, галузі потрібно запровадити комплексний стандарт аудиту, що охоплює код смарт-контрактів, параметри розгортання і міжланцюгову верифікацію, включаючи налаштування DVN і резервування RPC-нодів. На рівні користувачів важливо враховувати не лише прибутковість протоколів, а й їхню безпеку, зокрема конфігурацію міжланцюгових мостів, прозорість резервів і історію реагування на безпекові інциденти.

Довгострокове здоров’я DeFi залежить не лише від зростання ліквідності і доходності, а й від системного підходу до безпеки та управління ризиками. Кожна велика криза — це не лише виклик, а й можливість для вдосконалення інфраструктури і підвищення рівня галузевої стійкості. Подія Kelp DAO ще триває, і її наслідки визначать, чи стане вона точкою зламу у розвитку галузі, чи випадковою аварією, яку забудуть.