Хакер Kelp DAO відмив $220 млн за шість тижнів. Станом на 1 червня у гаманці зловмисника залишилося лише $1.7 млн відстежуваних коштів. Шанс добровільного повернення тепер фактично нульовий.
Двошарова схема відмивання
Зловмисник застосував послідовну двоступеневу схему. Спершу вкрадені кошти конвертували і виводили через Wasabi, Bitcoin-міксер на базі протоколу CoinJoin. CoinJoin збирає транзакції від різних учасників в одну спільну, що ускладнює визначення реального відправника і отримувача. Wasabi автоматизує цей процес і не потребує довіри централізованому оператору.
Після виходу з Wasabi кошти повертались до мережі Ethereum і проходили через Tornado Cash. Цей депозитний міксер ізолює адреси відправника і отримувача через смарт-контракт: кошти вносяться на анонімний рахунок, а виводяться на нову адресу без відстежуваного зв'язку. OFAC включило Tornado Cash до санкційного списку у 2022 році, але технічно сервіс залишається доступним.
Обидва шари аналізували блокчейн-аналітик Specter та провайдер Arkham Intelligence. За їх даними, схема тривала шість тижнів при середньому обсязі приблизно $5.2 млн на добу. Власне злом стався 18 квітня 2026. З протоколу Kelp DAO виведено 116 500 rsETH, і квітень став рекордним місяцем для DeFi-зломів. Галузь втратила $630 млн сукупно.
Що лишилось від $293 млн
У відстежуваному гаманці зловмисника лишилось лише $1.7 млн. Решта $220 млн розпорошена по адресах без прозорого ланцюжка переміщень. Після двох шарів змішування ймовірність відновити маршрут коштів практично нульова. Питання добровільного повернення можна вважати закритим.
Arbitrum Security Council діяв оперативно, і заморозка відбулась за чотири дні після зловживання. Американський суд пізніше видав наказ, що дозволив передати ці кошти під контроль мультисиг-гаманця під управлінням протоколу Aave. Це стандартна правова фіксація активів до остаточного розгляду справи.
Від $293 млн у правовому полі лишилось $71 млн. Решта $222 млн для слідчих практично недосяжна.
Чому сектор рестейкінгу зараз під тиском
Kelp DAO є одним з провідних протоколів рестейкінгу Ethereum. Рестейкінг дозволяє власникам ETH одночасно захищати кілька мережевих протоколів і отримувати вищий відсоток, але за рахунок додаткової технічної складності. До початку 2026 року сектор залучив понад $20 млрд.
Атака пройшла через кросчейн-інфраструктуру. Вразливість знайшли у контракті LayerZero, що відповідає за переміщення rsETH між мережами. Публічних аудитів, де цей вектор був би позначений як критичний, до атаки не виходило. Кросчейн-рівні перевіряють менш ретельно, ніж базові контракти протоколів. Ця різниця в глибині перевірки обходиться дорого.
Статистика травня дає часткове полегшення. За даними CertiK, DeFi-втрати у травні впали до $68.3 млн проти $630 млн у квітні, тобто скоротились майже на 90%. Але це відскок після аномального місяця, а не доказ того, що вкрадені кошти повернулись. Гроші Kelp DAO у травневій статистиці не враховані.
П'ятничне слухання і доля $71 млн
У найближчі дні відбудеться слухання у нью-йоркському суді щодо прав власності на заморожені $71 млн. Якщо суд підтвердить передачу коштів до мультисигу під управлінням Aave, почнеться процедура розподілу між постраждалими власниками rsETH. Деталі компенсації оголосить команда Kelp DAO після рішення.
Паралельно протокол вже завершив п'ятитижневу програму відновлення токена rsETH. Фінальний транш (20 373.7 rsETH) відправили на контракт LayerZero, відповідальний за блокування, карбування і вивільнення токена при міжланцюгових переказах. Протокол відновив технічну функціональність.
Якщо суд підтримить позицію команди, постраждалі власники rsETH отримають відшкодування приблизно 24% від вкраденого. Небагато. Але більше, ніж у більшості DeFi-зломів, де компенсація не виплачується взагалі.
Практичний висновок для DeFi-вкладників
Цей кейс підтвердив кілька речей, про які аудитори говорять давно. Кросчейн-мости й міжланцюгові інтеграції залишаються найбільш вразливою частиною DeFi-архітектури. Більшість великих зломів 2025-2026 рр. сталось саме через цей рівень. Централізовані механізми захисту, такі як Security Council Arbitrum, реально рятують частину коштів у кризових ситуаціях. А юридичне вирішення займає місяці.
Тим, хто тримає активи у рестейкінг-протоколах, варто перевірити наявність механізмів аварійного заморожування на рівні мережі-оператора. У випадку Kelp DAO чотири дні виявилось достатньо для порятунку $71 млн. Але $220 млн пішли до того, як Security Council встиг відреагувати.
Ширший контекст: Tornado Cash і Wasabi продовжують функціонувати попри регуляторний тиск. В поєднанні з міжланцюговими можливостями відмивання великих сум залишається реальним сценарієм для будь-якого значного DeFi-злому. Доки Bitcoin-міксери й Ethereum-протоколи анонімізації технічно доступні, попит на них нікуди не зникне.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *