Сообщается, что 18 апреля 2026 года злоумышленник воспользовался уязвимостью в процессе чеканки токена rsETH (токена ликвидного рестейкинга KelpDAO), похитив, по оценкам, 280 миллионов долларов США или более в экосистемах Ethereum и Arbitrum.
ZachXBT сообщил об уязвимости в KelpDAO, которая привела к убыткам на сумму более 280 млн долларов на рынках кредитования DeFi в сети Ethereum
АВТОР
ПОДЕЛИТЬСЯ
Основные выводы:
- 18 апреля 2026 года ZachXBT сообщил о краже более 280 млн долларов из протоколов DeFi Ethereum и Arbitrum.
- Уязвимость в процессе чеканки токена rsETH от KelpDAO привела к возникновению безнадежной задолженности в Aave V3, в результате чего курс токена AAVE упал примерно на 10–13%.
- KelpDAO не подтвердило факт взлома; аналитики отслеживают шесть идентифицированных кошельков злоумышленников в поисках улик, которые помогут вернуть средства.
Уязвимость DeFi Ethereum: атака на rsETH от KelpDAO привела к потере более 280 млн долларов
Исследователь ончейн-транзакций ZachXBT опубликовал первоначальное предупреждение на своем публичном канале в Telegram незадолго до 15:00 по восточному времени, перечислив шесть адресов кошельков, связанных с кражей, и отметив, что кошельки злоумышленников были пополнены через Tornado Cash до начала слива средств. В его посте упоминались убытки, превышающие 280 миллионов долларов по нескольким протоколам DeFi, без прямого упоминания KelpDAO, но аналитики ончейн-транзакций установили связь между адресами в течение нескольких часов.
«Похоже, что час назад у KelpDAO было украдено более 280 миллионов долларов на Ethereum и Arbitrum», — написал ZachXBT. «Адрессы, использованные в атаке, были пополнены через Tornado Cash».
Атака была осуществлена по хорошо отработанному сценарию. Согласно отчетам, злоумышленники, по-видимому, воспользовались уязвимостью в логике чеканки rsETH, создав большой объем ликвидного токена для повторного ставок без предоставления надлежащего обеспечения. Этот надутый rsETH затем был депонирован на рынках кредитования Aave V3 как на Ethereum, так и на Arbitrum, где злоумышленник взял в кредит значительные суммы ETH и других активов под его залог.
Как только залог был признан бесполезным, эти позиции оставили Aave с безнадежными долгами. По оценкам сообщества, общие убытки составили от 100 до примерно 293 миллионов долларов, что эквивалентно примерно 116 500 ETH по текущим ценам.
AAVE резко упал на фоне этой новости. Рыночные данные показывают падение на 10–13% в течение нескольких часов после первоначального предупреждения, поскольку рынок оценивал потенциальный риск безнадежных долгов по всем кредитным пулам протокола.
Токены ликвидного рестейкинга, такие как rsETH, глубоко интегрированы в компоузируемость DeFi. Они принимаются в качестве залога на нескольких кредитных рынках одновременно, что означает, что уязвимость, связанная с чеканкой, может быстро распространить убытки по платформам. Инцидент с KelpDAO наглядно иллюстрирует этот риск.
Кошельки злоумышленников, перечисленные ZachXBT, показывали крупные позиции в ETH на Aave и Compound. По имеющимся данным, на один только адрес на Aave на момент обнаружения приходилось примерно 120 миллионов долларов в ETH. Средства были быстро перемещены после слива.
Использование Tornado Cash для предварительного пополнения операционных кошельков перед атакой является стандартной тактикой для злоумышленников, пытающихся скрыть происхождение средств. Это не указывает на новую технику, но подтверждает, что операция была преднамеренной и спланированной.
По состоянию на 15:00 по восточному времени 18 апреля KelpDAO не опубликовал официального заявления или отчета о случившемся. Сообщество следило за аккаунтом проекта в X и его веб-сайтом в ожидании ответа, а также за каналами управления Aave на предмет каких-либо экстренных мер.
На момент написания статьи компании, занимающиеся безопасностью DeFi, включая Peckshield, Slowmist и другие, еще не опубликовали подробных отчетов, что отражает, насколько быстро развивалась ситуация. ZachXBT не публиковал в публичных каналах последующих сообщений, в которых бы конкретно упоминался KelpDAO, но совпадение адресов провело четкую грань.
Взлом протокола Drift в 2026 году: что произошло, кто потерял деньги и что будет дальше
1 апреля 2026 года протокол Drift Protocol понес убытки в размере 286 млн долларов в результате 12-минутного взлома DeFi-сети Solana, связанного с деятелями из КНДР, которые использовали поддельное обеспечение и методы социальной инженерии. read more.
Читать
Взлом протокола Drift в 2026 году: что произошло, кто потерял деньги и что будет дальше
1 апреля 2026 года протокол Drift Protocol понес убытки в размере 286 млн долларов в результате 12-минутного взлома DeFi-сети Solana, связанного с деятелями из КНДР, которые использовали поддельное обеспечение и методы социальной инженерии. read more.
ЧитатьВзлом протокола Drift в 2026 году: что произошло, кто потерял деньги и что будет дальше
Читать1 апреля 2026 года протокол Drift Protocol понес убытки в размере 286 млн долларов в результате 12-минутного взлома DeFi-сети Solana, связанного с деятелями из КНДР, которые использовали поддельное обеспечение и методы социальной инженерии. read more.
Этот инцидент не связан с уязвимостью протокола Drift, о которой впервые сообщил Bitcoin.com News 1 апреля 2026 года, в ходе которой было похищено примерно 280 миллионов долларов, в основном на Solana, до того как USDC были переведены на Ethereum через CCTP. Механизмы, цепочки и временные рамки различаются.
Членам сообщества рекомендовали всем, кто держит rsETH или связанные позиции на Aave, Compound или других кредитных рынках, пересмотреть свою подверженность риску, пока ситуация не будет разрешена.
Шесть кошельков злоумышленников, идентифицированных ZachXBT, остаются активными целями для отслеживания в цепочке, поскольку аналитики работают над определением того, куда переместились средства после вывода из Aave.
