18 квітня протокол ліквідного рестейкінгу Kelp призупинив усі смарт-контракти після атаки на bridge-контракт токену rsETH. З платформи вивели близько $293 млн. Компанія Cyvers, яка першою виявила атаку, назвала подію "міжпротокольним зараженням" - за кілька годин постраждали щонайменше дев'ять DeFi-протоколів.
Як хакер зламав Kelp
Kelp - протокол ліквідного рестейкінгу на базі Ethereum. Його токен rsETH дає користувачам можливість отримувати дохід від стейкінгу, зберігаючи ліквідність активу. Bridge-контракт, який керує міжмережевими переказами rsETH, і виявився вразливим місцем.
Хакер заздалегідь підготував адресу через Tornado Cash - мікшер, який приховує джерело транзакцій. Поки Kelp реагував, зловмисник встиг конвертувати більшість активів у ETH та перемістити їх далі по мережі. Cyvers зафіксували $250 млн у ETH ще до того, як платформа зупинила контракти.
Дев'ять протоколів під ударом
Aave першою заморозила ринки rsETH на версіях V3 та V4. rsETH широко використовувався як застава в протоколі, тому продовження роботи загрожувало збитками вкладникам. Рішення про заморозку прийняли протягом кількох годин після виявлення атаки.
- Щонайменше 9 DeFi-протоколів мали відкриті позиції по rsETH
- Kelp зупинив контракти на mainnet та кількох L2-мережах
- Атаку відстежила Cyvers ще до офіційного підтвердження від команди
- Офіційна заява Kelp: "Ми виявили підозрілу міжмережеву активність і розслідуємо ситуацію"
Ризик композабельності: за що платить DeFi
CEO Cyvers Deddy Lavid прокоментував коротко: "Цей інцидент показує ризики композабельності в DeFi." Композабельність означає можливість протоколів взаємодіяти між собою як кубики конструктора. Кожен міст, кожен токен-обгортка, кожен новий рівень додає потенційну точку входу для зловмисника.
Коли один токен одночасно слугує заставою у дев'яти системах, атака на нього обвалює всі дев'ять. Рестейкінг як механізм побудований саме на цій логіці. Тому він давно є пріоритетною ціллю для хакерів.
Хаки 2026 року: безперервна серія
Злом Kelp відбувся через кілька тижнів після атаки на Drift Protocol, де хакери вивели $280 млн після місяців підготовки з проникненням у команду розробників. За даними Cyvers, лише в першому кварталі 2026 року крипторинок втратив від зламів та шахрайства близько $482 млн.
Рестейкінг-протоколи давно вважаються ризикованими через складну архітектуру і залежність від cross-chain мостів. Kelp наочно підтвердив, що ці попередження не були теоретичними.
Що буде далі
На момент публікації Kelp не відповів на запити медіа. Команда обмежилась повідомленням про розслідування без конкретних термінів і деталей. Більша частина вкрадених коштів вже конвертована та переміщена з ідентифікованих адрес - це суттєво ускладнює їх відстеження та повернення.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *