2026 рік найбільша подія безпеки DeFi: уразливість міжланцюгового моста KelpDAO, зліки Aave майже 200 мільйонів доларів

2026 рік квітня, криптоіндустрія пережила серйозний тест системного ризику DeFi. Мостовий протокол KelpDAO через вразливість у конфігурації LayerZero зазнав атаки, що спричинило аномальне емісійне збільшення rsETH, яке передалося до протоколу Aave, сформувавши близько 200 мільйонів доларів збитків, а загальна заблокована вартість (TVL) у всій DeFi-мережі за 72 години зменшилася більш ніж на 13 мільярдів доларів. Ця подія не лише виявила ризикову залежність між міжланцевими мостами та протоколами позики, а й викликала глибокі дискусії щодо меж безпеки у системній композиції.

Як атака на KelpDAO спричинила збитки Aave майже на 2 мільярди доларів?

Шлях передачі атаки поділяється на три етапи. Перший — зловмисник використав вразливість у конфігурації LayerZero в межах міжланцевого мосту KelpDAO, обійшов механізм перевірки прав доступу та незаконно створив значну кількість rsETH на вихідному ланцюгу. Другий — зловмисник переніс емісійний rsETH через міжланцевий міст до основної мережі Ethereum та швидко обміняв його на інші активи через кілька децентралізованих бірж (DEX), що спричинило короткочасне відхилення ціни rsETH від прив’язки. Третій — оскільки Aave використовує rsETH як заставний актив, зловмисник, використовуючи надлишкову емісію rsETH, позичив ETH і USDC понад норму та одразу вивів ліквідність, залишивши непогасний борг. Станом на 20 квітня 2026 року, за офіційною інформацією Aave, обсяг збитків становить приблизно від 177 до 200 мільйонів доларів, залежно від подальших процедур ліквідації та стягнення.

Як вразливість міжланцевого мосту rsETH і конфігурація LayerZero відкрили цю проблему?

Технічна причина атаки — недосконалість управління правами у міжланцевому мосту. Мостовий протокол KelpDAO базується на універсальному протоколі передачі повідомлень LayerZero, але у конфігурації не було жорсткої перевірки адреси контракту відправника повідомлення. Зловмисник підробив легітимний ідентифікатор відправника та подав команду “збільшити емісію” на цільовому ланцюгу. Посередники LayerZero і кінцеві контракти виконали цю команду, оскільки механізм перевірки базувався лише на підписі повідомлення і не здійснював додаткову перевірку легітимності бізнес-логіки. Ця вразливість — класична проблема “некоректної конфігурації та логіки”, яка вже неодноразово виникала у атаках на міжланцеві мостові протоколи у 2025–2026 роках. rsETH, як токен повторного залучення ліквідності KelpDAO, мав обмежені права на емісію, які були неправильно відкриті зовнішнім викликам через вразливість у мостовому інтерфейсі.

Чому Aave не зміг уникнути збитків у 177 мільйонів доларів?

Aave — децентралізований протокол позик, який залежить від цінових орієнтирів оракулів і механізмів ліквідації. У цьому випадку ціна rsETH швидко відхилилася від прив’язки, і час її відхилення був дуже коротким, а зловмисник вже завершив позикові операції до початку падіння ціни. Коли ціна rsETH почала знижуватися, позиція зловмисника вже була “у мінусі”, але автоматичний механізм ліквідації Aave не спрацював своєчасно. Причини — дві. По-перше, коефіцієнт застави rsETH у Aave був високим, що створювало буфер для коливань цін, але зловмисник цим скористався. По-друге, зловмисник використовував кілька адрес для розподілу позик, що створювало ілюзію стабільності окремих позицій, хоча загальний ризик був дуже високим. Також оракул Aave не зміг швидко зафіксувати реальну ціну rsETH на DEX, оскільки механізм зваженої середньої ціни (TWAP) мав затримки, що спричинило запізнення у запуску ліквідацій.

Як системна композиція DeFi посилила ризики окремих протоколів?

Композиція — ключова перевага DeFi, але водночас і джерело ризиків. У випадку атаки на KelpDAO ризики поширилися по ланцюгу “міжланцевий міст — токен повторного залучення — протокол позик”. Вразливість мосту спричинила емісію rsETH, а цей актив у протоколі Aave став заставою для створення позик, що дозволило штучно завищити вартість активів і вивести реальні ліквідні кошти. Така передача ризиків має нелінійний характер: вартість атаки у 5 мільйонів доларів призвела до збитків майже на 200 мільйонів і виведення понад 13 мільярдів TVL. Учасники ринку після події швидко вивели ліквідність з Aave та інших протоколів, що посилило відтік капіталу. Станом на 20 квітня 2026 року, загальний TVL у DeFi знизився з приблизно 1150 до 1020 мільярдів доларів, зникнення склало понад 130 мільярдів доларів.

Хто і чому “біжить” з TVL у 130 мільярдів доларів?

Швидке зниження TVL відображає три рівні ринкової поведінки. Перший — безпосередньо протокол Aave, де користувачі, щоб уникнути блокування активів або ліквідації, вивели близько 45 мільярдів доларів ліквідності. Другий — агрегатори та маржинальні протоколи, що працюють з Aave, через невизначеність ринку зменшили або призупинили роботу, вивівши близько 35 мільярдів доларів. Третій — паніка на ринку, що спричинила масовий відтік активів з інших протоколів і платформ, що призвело до додаткових 50 мільярдів доларів виведених коштів. Вражаюче, що швидкість відтоку у цьому випадку стала однією з найвищих у історії DeFi: за 72 години TVL зменшився на 11,3%. За активами найбільше постраждали ETH і стабільні монети — їх вивели відповідно близько 48 і 52 мільярдів доларів.

Чи може DeFi-страхування покрити “сліпі зони” подібних атак?

Поточні страхові протоколи DeFi мають дуже обмежену здатність покривати такі випадки. Основні — Umbrella та інші — зазвичай страхують лише прямі збитки через вразливості у смарт-контрактах, але не охоплюють опосередковані збитки, що виникають через “передавання ризиків між протоколами”. У випадку атаки на KelpDAO збитки Aave не були викликані вразливістю у його контрактах, а — зовнішніми аномаліями у входах. Чи має страхова індустрія виплачувати за “зовнішні ризики входу” — питання відкриті. Також, у разі цінового відхилення та невдачі ліквідації, зазвичай застосовуються виключення за “ринкові ризики” або “операційні ризики”. На 20 квітня 2026 року кілька страхових протоколів вже оцінюють можливість покриття збитків, але більшість втрат, ймовірно, залишаться поза межами страхового покриття. Це демонструє обмеженість системи страхування у протистоянні системним ризикам.

Висновки

Атака на міжланцевий міст KelpDAO — один із найсерйозніших випадків у сфері безпеки DeFi у 2026 році. Вартість атаки — близько 5 мільйонів доларів — спричинила збитки для Aave майже на 200 мільйонів і зниження TVL більш ніж на 13 мільярдів доларів. Основні уроки: управління правами у міжланцевих мостах має бути тісно пов’язане з бізнес-логікою, протоколи позик — посилити контроль за нестандартними заставами, а системи страхування — розширити на випадки системних ризиків. Компонування підвищує ефективність, але вимагає більш чітких меж ризиків між протоколами. Для галузі ця подія — не кінець, а важливий крок у підвищенні стандартів управління ризиками у DeFi.

FAQ

Питання: Хто несе відповідальність за збитки Aave у 200 мільйонів доларів після атаки KelpDAO?

Відповідь: Спершу збитки покриває резерв протоколу Aave. Якщо резерв недостатній, протокол компенсує через ліквідаційні доходи та збори. Частина збитків може опосередковано лягти на плечі провайдерів ліквідності, залежно від рішень спільноти.

Питання: Чи вплине ця атака на інші міжланцеві мости, що використовують LayerZero?

Відповідь: Сам протокол LayerZero не має вразливостей, проблема — у неправильній конфігурації KelpDAO щодо перевірки повідомлень. Інші мости, що застосовують подібні некоректні механізми, також ризикують бути атакованими. Рекомендується провести аудит логіки перевірки повідомлень.

Питання: Як інвесторам уникнути ризиків системної композиції у DeFi?

Відповідь: Варто аналізувати залежності між протоколами, уникати великих вкладень у глибоко вкладені стратегії, обирати протоколи з багаторівневим аудитом, ризик-менеджментом і планами ліквідації. Диверсифікація активів між різними протоколами — ще один спосіб зменшити ризики.