Рынок децентрализованных финансов (DeFi) столкнулся с одной из крупнейших атак в 2026 году. Изначально сообщалось о возможном хищении свыше $100 млн через платформу liquid staking KelpDAO, однако вскоре выяснилось, что реальный масштаб инцидента значительно больше. Согласно данным on-chain-аналитики, злоумышленники похитили активы на сумму более $280 млн из ряда протоколов, работающих на сетях Ethereum и Arbitrum.
Особое внимание привлекло то, что адреса, использованные для атаки, были пополнены через Tornado Cash — инструмент для конфиденциальных транзакций, что затрудняет отслеживание перемещений средств. Это указывает на спланированный и профессиональный характер взлома.
Кризис быстро распространился на экосистему DeFi. Ведущий кредитный протокол Aave был вынужден принять экстренные меры. Сначала через механизм мультисиг-хранителя были заморожены залоги rsETH (liquid staking токена KelpDAO) в пулах кредитования на Aave V3. Позже, 18 апреля 2026 года, команда Aave выпустила официальное заявление, в котором подтвердила, что рынки rsETH на версиях V3 и V4 полностью заморожены.
В заявлении подчёркивается, что смарт-контракты самого Aave не были скомпрометированы — уязвимость возникла на стороне моста rsETH от KelpDAO. Тем не менее, протокол столкнулся с риском образования «плохого долга» (bad debt) из-за того, что заёмщики использовали обесценившийся после атаки rsETH в качестве залога.
В настоящее время все новые операции по внесению залога и займам под rsETH временно приостановлены. Команда Aave проводит детальный анализ всех займов, оформленных после инцидента, и изучает варианты покрытия возможных убытков. Окончательные выводы и план действий будут обнародованы в ближайшее время.
