Злам Kelp на $293 млн вийшов далеко за межі одного протоколу. Найбільша DeFi-кредитна платформа Aave за лічені години пережила паніку виведення на $6.2 млрд. Токен AAVE за добу впав на 12.7% до $90.52. Засновник Curve Finance Мікаель Єгоров вказав на системну проблему: незізольована архітектура більшості DeFi-платформ перетворює один злом на ланцюгову реакцію одразу для кількох протоколів.
Як один злом вразив дев'ять протоколів
Атака на Kelp відбулась у суботу, 19 квітня. Хакери скористались вразливістю в крос-чейн мості протоколу та вивели близько $293 млн. Kelp оперативно зупинив смарт-контракти свого токена рідкого рестейкінгу rsETH та призупинив усі операції. Але зупинити ефект не вийшло.
Блокчейн-компанія Cyvers зафіксувала те, що назвала "подією крос-протокольного зараження". Постраждали щонайменше 9 платформ: Aave, Fluid, Compound Finance, SparkLend, Euler та інші. Кожна з них заморозила ринки rsETH або вжила термінових захисних заходів після того, як ціна rsETH почала стрімко падати.
Масштаб подій дав привід порівнювати з минулотижневим злом Drift Protocol, де збитки склали $280 млн. Квітень 2026 перетворився на один з найнебезпечніших місяців для DeFi-сектору за останні роки.
Паніка на Aave: $6.2 млрд намагаються вийти
Aave опинився в центрі кризи через просту причину: rsETH активно використовувався на платформі як застава для кредитів. Після злому Kelp і обвалу ціни rsETH позичальники, що тримали цей токен як заставу, раптово опинились під загрозою примусової ліквідації своїх позицій.
Реакція ринку була миттєвою. За кілька годин загальний обсяг спроб виведення коштів з Aave сягнув $6.2 млрд. Протокол витримав цей тиск завдяки достатньому рівню ліквідності, але сам токен AAVE обвалився майже на 13% за добу, зупинившись на позначці $90.52.
Схожу картину можна спостерігати і на інших постраждалих протоколах: скрізь, де rsETH був інтегрований як актив, торгові пари або ринки були заморожені до прояснення ситуації.
Засновник Curve Finance: де шукати першопричину
Мікаель Єгоров, засновник Curve Finance, зробив публічне пояснення після злому. Незізольоване кредитування на DeFi-платформах несе системний ризик: кожен токен у заставі стає потенційною точкою атаки для всієї платформи, а не лише для конкретного позичальника.
Єгоров вказав і на першопричину самого злому: "Крос-чейн складний і потенційно ризикований. Використовуйте його лише тоді, коли це справді необхідно, і робіть це дуже обережно", написав він. DeFi-командам він рекомендував ретельно перевіряти кожен токен перед тим, як приймати його як заставу. Особливо ті, що мають крос-чейн компоненти або єдині точки відмови.
Нова реальність DeFi-безпеки
CEO Cyvers Дедді Лавід сформулював головний виклик після інциденту: "Завдання вже не тільки запобігти злому на рівні окремого контракту. Треба розуміти, як швидко він може каскадно пройти через всі інтегровані протоколи." Ця здатність DeFi до самопоширення загроз стає ключовою проблемою сектору в 2026 році.
Ethereum-екосистема, на базі якої побудована більшість цих протоколів, знову постає перед питанням архітектурних рішень. Після двох великих зломів за два тижні обговорення про жорсткішу ізоляцію між протоколами стали практичними, а не теоретичними.
Ізоляція чи ефективність: DeFi обирає
Єгоров не виступив за повну відмову від інтеграцій. Більш ізольовані протоколи дійсно безпечніші, але вони потребують більше капіталу для забезпечення тієї самої ліквідності. Це базовий компроміс між безпекою і капітальною ефективністю, який DeFi-ринок досі не вирішив.
Після інциденту кілька протоколів оголосили про перегляд критеріїв white-list для нових токенів-застав. На форумі Aave розгортається дискусія про нові правила щодо крос-чейн активів та вимоги до їхніх аудитів безпеки. Q1 2026 з $482 млн сукупних збитків від хаків залишає галузі мало часу на теоретизування.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *