Эксплойт Kelp DAO на сумму $292 млн вызвал волну реакций в криптоиндустрии, при этом разработчики и трейдеры предупреждают, что инцидент выявил более глубокие недостатки в том, как построены децентрализованные финансы (DeFi).
Данные, которыми поделились участники рынка, показывают, что немедленные последствия распространились далеко за пределы взломанного протокола.
"Взлом rsETH приводит к выводу средств по всем протоколам кредитования, даже на solana и незатронутых протоколах", - сказал 0xngmi в одном из постов в воскресенье, указывая на резкий отток, включая "Aave: -6 200 млн (-23%) чистого притока" и меньшие, но заметные снижения по Morpho, Sky и JupLend. rsETH - это рестейкнутый эфир протокола ликвидного рестейкинга Kelp DAO и является токеном ликвидного рестейкинга (LRT), который позволяет пользователям зарабатывать вознаграждения за стейкинг и рестейкинг эфира, сохраняя при этом свои активы ликвидными, даже когда они заблокированы в стейкинге.
Это давление быстро превратилось во что-то более серьезное. Один широко распространенный пост Josu San Martin описал каскадный стресс ликвидности внутри рынков кредитования: "Вкладчики ETH не могут вывести ETH, поэтому они берут в долг стейблкоины, чтобы 'вывести' средства... Это полноценная паника вывода на AAVE."
Хотя Стани Кулечов, основатель Aave, заявил, что эксплойт был внешним и что контракты протокола не были скомпрометированы, вкладчики запаниковали. Общая заблокированная стоимость (или депозиты) упала с $26,4 млрд 18 апреля до почти $20 млрд в утренние часы в США в воскресенье, согласно DefiLlama. Токен AAVE также упал более чем на 18%, поскольку вкладчики бросились выводить свои деньги в течение выходных.
Цена токена Aave (CoinDesk)Показательный случай
Сам эксплойт стал центром внимания для инженеров и разработчиков.
Несколько разработчиков отвергли ранние предположения о том, что проблема связана с основной инфраструктурой. "Эксплойт KelpDAO (~$290 млн) НЕ является ошибкой протокола LayerZero. Это проблема конфигурации и показательный случай, который должен изучить каждый проект с кросс-чейн токеном сегодня", - говорилось в одном техническом разборе от cryptogoblin.
Тред подробно описал, как одна точка верификации позволила осуществить атаку. "Одна подпись и 116 500 rsETH материализовались из воздуха на Ethereum", - говорилось в посте, описывая систему, где "смарт-контракты не были сломаны. Был сломан уровень верификации", - утверждалось в посте.
Другие утверждали, что проблема глубже, чем один выбор настройки.
Один критик, известный как Fishy Catfish на X, охарактеризовал это как недостаток дизайна, утверждая, что: "нет минимального уровня безопасности... Конфигурация может быть 1/1 DVN, и выбранный вами DVN может быть одним узлом, управляемым одной организацией." DVN (децентрализованная сеть верификаторов) в DeFi, в частности в LayerZero V2, является независимой организацией, ответственной за проверку и подтверждение подлинности сообщений, отправляемых между различными блокчейн-сетями. По сути, DVN проверяют хэши сообщений между исходной цепью и целевой цепью.
Чтобы прояснить суть, автор провел сравнение с реальным миром: "представьте, если бы производитель американских горок позволял парках развлечений самостоятельно решать, какими должны быть минимальные требования безопасности." По сути, автор просто говорит, что гибкость без ограждений может создать скрытые риски.
Пост зашел так далеко, что заявил, что настройка была проблемой в дизайне. "Я лично считаю, что это недостаточный дизайн. Модульная безопасность - это стоящее направление для проектирования, однако диапазон безопасности должен иметь собственный минимальный уровень безопасности, который довольно силен, а затем позволять *дополнительное* наслаивание безопасности поверх этого для более высокоценных случаев использования."
'DeFi мертв'
Дело не только в размере и сложности эксплойта, которые вызвали резкую панику и критику. Масштаб эксплойта усилил обеспокоенность.
Пострадало примерно 116 500 rsETH, около 18% предложения. Атакующий обманул кросс-чейн слой передачи сообщений LayerZero, заставив его поверить, что действительная инструкция поступила из другой сети, что вызвало выпуск мостом Kelp 116 500 rsETH на адрес, контролируемый атакующим.
Протоколы отреагировали, заморозив рынки и приостановив функции. Aave остановил активность rsETH. Lido приостановил депозиты, связанные с активом. Другие проекты предприняли аналогичные шаги, чтобы ограничить воздействие по мере развития ситуации.
Помимо технических дебатов, настроения в криптосообществе резко стали негативными. Один пост, возможно, отразил смену настроения в резких выражениях: "DeFi мертв... 'просто используйте aave' мертво", добавляя при этом, что "Эпоха крипто закончилась" и спрашивая: "Если вы читаете это - почему вы все еще в крипто?"
Хотя реакция может показаться чрезмерной, такая 'импульсивная' реакция не является необычной после крупных эксплойтов, но широта этого события выделяется.
Атака одновременно затронула кросс-чейн инфраструктуру, модели рестейкинга и рынки кредитования. Она также следует за серией недавних инцидентов. Взлом происходит в необычайно враждебный период для DeFi, особенно в этом месяце. Протокол бессрочных контрактов Drift на базе Solana был лишен около $285 млн 1 апреля в результате атаки, позже связанной с субъектами, связанными с Северной Кореей, и по меньшей мере дюжина более мелких протоколов подверглась эксплойтам в последующие недели, включая CoW Swap, Zerion, Rhea Finance и Silo Finance.
'Проверьте свои конфигурации'
Несмотря на все объяснения, вопросов все еще больше, чем ответов.
Даже LayerZero все еще пытается выяснить полные детали эксплойта. "Мы полностью осведомлены об эксплойте rsETH и находимся в активном режиме исправления с командой @KelpDAO с момента инцидента и продолжаем мониторить. Все другие приложения остаются в безопасности", - говорилось в посте на X. "Мы все еще определяем первопричину вместе с @_SEAL_Org и другими. Мы опубликуем полный разбор с @KelpDAO, как только получим всю информацию."
KelpDAO повторил эти настроения. "Сегодня ранее мы выявили подозрительную кросс-чейн активность с участием rsETH. Мы приостановили контракты rsETH в основной сети и нескольких L2, пока мы расследуем. Мы работаем с @LayerZero_Core, @unichain, нашими аудиторами и ведущими экспертами по безопасности над RCA. Мы будем держать вас в курсе по мере того, как узнаем больше об этой ситуации."
Тем не менее, некоторые разработчики видят более ясный урок в этом хаосе.
Эксплойт не полагался на взлом шифрования или обход смарт-контрактов. Вместо этого он выявил, насколько хрупкими могут стать системы, когда они зависят от многоуровневых предположений.
Проще говоря, инструменты работали по назначению. То, как они были настроены, - нет.
Это различие может определить, что будет дальше. Разработчики теперь призывают проекты пересмотреть свои настройки, особенно те, которые полагаются на кросс-чейн передачу сообщений.
Как резко выразился cryptogoblin: "Проверьте свои конфигурации. Будьте в безопасности."
Читайте также: Доходность DeFi падает настолько сильно, что не может конкурировать с традиционным сберегательным счетом
Источник: https://www.coindesk.com/news-analysis/2026/04/19/defi-is-dead-crypto-community-scrambles-after-usd292-million-hack-exposes-cross-chain-risks
