Взлом Kelp на $293 млн вышел далеко за рамки одного протокола. Крупнейшая DeFi-кредитная платформа Aave за несколько часов пережила панику снятий на $6.2 млрд. Токен AAVE за сутки упал на 12.7% до $90.52. Основатель Curve Finance Михаил Егоров указал на системную проблему: неизолированная архитектура большинства DeFi-платформ превращает один взлом в цепную реакцию сразу для нескольких протоколов.
Как один взлом поразил девять протоколов
Атака на Kelp произошла в субботу, 19 апреля. Хакеры воспользовались уязвимостью в кросс-чейн мосту протокола и вывели около $293 млн. Kelp оперативно остановил смарт-контракты своего токена рестейкинга rsETH и приостановил все операции. Но остановить эффект не получилось.
Блокчейн-компания Cyvers зафиксировала то, что назвала "событием кросс-протокольного заражения". Пострадали как минимум 9 платформ: Aave, Fluid, Compound Finance, SparkLend, Euler и другие. Каждая из них заморозила рынки rsETH или приняла срочные защитные меры после того, как цена rsETH начала стремительно падать.
Масштаб событий дал повод сравнивать с прошлонедельным взломом Drift Protocol, где убытки составили $280 млн. Апрель 2026 стал одним из самых опасных месяцев для DeFi-сектора за последние годы.
Паника на Aave: $6.2 млрд пытаются выйти
Aave оказался в центре кризиса по простой причине: rsETH активно использовался на платформе как залог для кредитов. После взлома Kelp и обвала цены rsETH заемщики, державшие этот токен как залог, внезапно оказались под угрозой принудительной ликвидации своих позиций.
Реакция рынка была мгновенной. За несколько часов общий объем попыток снятия средств с Aave достиг $6.2 млрд. Протокол выдержал это давление благодаря достаточному уровню ликвидности, но сам токен AAVE обвалился почти на 13% за сутки, остановившись на отметке $90.52.
Похожую картину можно наблюдать и на других пострадавших протоколах: везде, где rsETH был интегрирован как актив, торговые пары или рынки были заморожены до прояснения ситуации.
Основатель Curve Finance: где искать первопричину
Михаил Егоров, основатель Curve Finance, дал публичное объяснение после взлома. Неизолированное кредитование на DeFi-платформах несет системный риск: каждый токен в залоге становится потенциальной точкой атаки для всей платформы, а не только для конкретного заемщика.
Егоров также указал на первопричину самого взлома: "Кросс-чейн сложен и потенциально опасен. Используйте его только тогда, когда это действительно необходимо, и делайте это очень осторожно", написал он. DeFi-командам он рекомендовал тщательно проверять каждый токен перед принятием его в качестве залога, особенно те, что имеют кросс-чейн компоненты или единые точки отказа.
Новая реальность DeFi-безопасности
CEO Cyvers Дедди Лавид сформулировал главный вызов после инцидента: "Задача уже не только в том, чтобы предотвратить взлом на уровне отдельного контракта. Нужно понимать, как быстро он может каскадно пройти через все интегрированные протоколы." Эта способность DeFi к самораспространению угроз становится ключевой проблемой сектора в 2026 году.
Ethereum-экосистема, на базе которой построено большинство этих протоколов, снова сталкивается с вопросом архитектурных решений. После двух крупных взломов за две недели обсуждения о более жесткой изоляции между протоколами стали практическими, а не теоретическими.
Изоляция или эффективность: DeFi выбирает
Егоров не выступил за полный отказ от интеграций. Более изолированные протоколы действительно безопаснее, но они требуют больше капитала для обеспечения той же ликвидности. Это базовый компромисс между безопасностью и капитальной эффективностью, который DeFi-рынок до сих пор не решил.
После инцидента несколько протоколов объявили о пересмотре критериев white-list для новых токенов-залогов. На форуме Aave разворачивается дискуссия о новых правилах в отношении кросс-чейн активов и требованиях к их аудитам безопасности. Q1 2026 с $482 млн совокупных убытков от взломов оставляет отрасли мало времени для теоретизирования.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *