Хакер Kelp DAO отмыл $220 млн за шесть недель. По состоянию на 1 июня в кошельке злоумышленника осталось только $1.7 млн отслеживаемых средств. Шанс добровольного возврата теперь фактически нулевой.
Двухуровневая схема отмывания
Злоумышленник применил последовательную двухэтапную схему. Сначала похищенные средства конвертировали и выводили через Wasabi, Bitcoin-миксер на базе протокола CoinJoin. CoinJoin объединяет транзакции разных участников в одну общую, что затрудняет определение реального отправителя и получателя. Wasabi автоматизирует этот процесс без участия централизованного оператора.
После прохождения через Wasabi средства возвращались в сеть Ethereum и шли через Tornado Cash. Этот депозитный миксер изолирует адреса отправителя и получателя через смарт-контракт: средства вносятся на анонимный счет, а выводятся на новый адрес без отслеживаемой связи. OFAC включило Tornado Cash в санкционный список в 2022 году, но технически сервис продолжает работать.
Оба уровня отслеживали блокчейн-аналитик Specter и провайдер Arkham Intelligence. По их данным, схема длилась шесть недель при среднем объеме около $5.2 млн в сутки. Сам взлом произошел 18 апреля 2026 года. Из протокола Kelp DAO вывели 116 500 rsETH, и апрель стал рекордным месяцем для DeFi-взломов. Общие потери отрасли составили $630 млн.
Что осталось от $293 млн
В отслеживаемом кошельке злоумышленника осталось лишь $1.7 млн. Остальные $220 млн рассеяны по адресах без прозрачной цепочки перемещений. После двух слоев смешивания вероятность восстановить маршрут средств практически нулевая. Вопрос добровольного возврата можно считать закрытым.
Arbitrum Security Council сработал оперативно, и заморозка произошла через четыре дня после взлома. Американский суд позже выдал предписание, разрешившее передать эти средства под контроль мультисиг-кошелька под управлением протокола Aave. Это стандартная правовая фиксация активов до разрешения спора.
Из $293 млн в правовом поле осталось $71 млн. Остальные $222 млн для следователей практически недоступны.
Почему сектор рестейкинга оказался под давлением
Kelp DAO является одним из ведущих протоколов рестейкинга Ethereum. Рестейкинг позволяет держателям ETH одновременно обеспечивать безопасность нескольких протоколов и получать повышенный доход, но за счет дополнительной технической сложности. К началу 2026 года сектор привлек более $20 млрд.
Атака прошла через кросс-чейн-инфраструктуру. Уязвимость нашли в контракте LayerZero, отвечающем за перемещение rsETH между сетями. Публичных аудитов, где этот вектор был бы отмечен как критический риск, до атаки не выходило. Кросс-чейн-уровни проверяют менее тщательно, чем базовые контракты протоколов. Эта разница в глубине проверки обходится дорого.
Майская статистика дает определенное облегчение. По данным CertiK, DeFi-потери в мае упали до $68.3 млн против $630 млн в апреле, сократившись почти на 90%. Но это отскок после аномального месяца, а не доказательство того, что похищенные средства вернулись. Деньги Kelp DAO в майскую статистику не включены.
Пятничное слушание и судьба $71 млн
В ближайшие дни состоится слушание в нью-йоркском суде по вопросу прав собственности на замороженные $71 млн. Если суд подтвердит передачу средств в мультисиг под управлением Aave, начнется процедура распределения среди пострадавших держателей rsETH. Детали компенсации объявит команда Kelp DAO после решения суда.
Параллельно протокол уже завершил пятинедельную программу восстановления rsETH. Финальный транш (20 373.7 rsETH) отправили на контракт LayerZero, отвечающий за блокировку, минтинг и освобождение токена при межсетевых переводах. Протокол восстановил техническую функциональность.
Если суд встанет на сторону команды, пострадавшие держатели rsETH получат возмещение около 24% от похищенного. Немного. Но больше, чем в большинстве DeFi-взломов, где компенсация не выплачивается вовсе.
Практический вывод для DeFi-инвесторов
Этот кейс подтвердил несколько вещей, о которых аудиторы говорят давно. Кросс-чейн-мосты и межсетевые интеграции остаются наиболее уязвимой частью DeFi-архитектуры. Большинство крупных взломов 2025-2026 гг. произошло именно через этот уровень. Централизованные механизмы защиты, такие как Security Council Arbitrum, реально спасают часть средств в кризисных ситуациях. А правовое разрешение занимает месяцы.
Тем, кто держит активы в рестейкинг-протоколах, стоит проверить наличие механизмов аварийной заморозки на уровне оператора сети. В случае Kelp DAO четырех дней оказалось достаточно для сохранения $71 млн. Но $220 млн ушли до того, как Security Council успел отреагировать.
Шире: Tornado Cash и Wasabi продолжают работать несмотря на регуляторное давление. В сочетании с межсетевыми возможностями отмывание крупных сумм остается реальным сценарием для любого значимого DeFi-взлома. Пока Bitcoin-миксеры и Ethereum-протоколы анонимизации технически доступны, спрос на них не исчезнет.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *