18 апреля 2026 года протокол жидкого рестейкинга KelpDAO стал жертвой масштабной атаки, в результате которой злоумышленник похитил 116 500 токенов rsETH на сумму, по разным оценкам, от $272,7 млн до $293 млн. Инцидент произошёл в течение 46 минут и стал крупнейшей кражей в сегменте децентрализованных финансов (DeFi) на текущий момент года.
Атака была осуществлена через критическую уязвимость в кросс-чейн мосте протокола. Злоумышленник, чей кошелёк получил первоначальное финансирование в размере 1 ETH через миксер Tornado Cash примерно за 18 часов до атаки, смог сгенерировать (отминтить) необеспеченные токены rsETH, обойдя логику проверки. Эти «фиктивные» токены были затем использованы в качестве залога для займа WETH на крупнейших версиях кредитного протокола Aave – V3 и V4.
Экстренные меры были приняты с задержкой. KelpDAO активировал функцию «pauseAll», приостановив контракты rsETH в основной сети Ethereum и на нескольких слоях-решениях второго уровня (L2), лишь через 46 минут после первой успешной транзакции. К этому моменту большая часть средств уже была похищена. Две последующие попытки злоумышленника вывести ещё около $100 млн были заблокированы.
Последствия атаки вышли далеко за рамки KelpDAO. Кредитный протокол Aave столкнулся с проблемными долгами (bad debt) на сумму от $177 до $196 млн из-за принятия в залог необеспеченных rsETH. Для покрытия части убытков может быть задействован страховой модуль Umbrella с фондом около $50 млн. Поставщикам ликвидности (депозиторам) WETH в Aave было объявлено о возможном haircut (списании части средств). Токен управления AAVE в течение нескольких часов после новости обрушился на 14%.
Рыночная реакция была мгновенной: объёмы торгов rsETH взлетели более чем на 100 000%, а ряд других кредитных платформ, включая SparkLend, Fluid и Upshift, заморозили рынки rsETH, чтобы предотвратить накопление новых проблемных долгов.
Инцидент высветил системные риски, связанные с использованием Liquid Restaking Tokens (LRT), таких как rsETH, в качестве залога в денежных рынках. Сложная многоуровневая структура этих токенов, представляющих права на рестейкинг ETH в различных протоколах, затрудняет оперативную оценку их реальной стоимости в условиях стресса.
Атака на KelpDAO стала кульминацией тяжёлого для безопасности DeFi начала 2026 года. Совокупные потери сектора к середине апреля уже превысили отметку в $450 млн примерно по 45 протоколам. Среди других крупных инцидентов: взлом Drift Protocol на Solana ($285 млн) 1 апреля, атака на Resolv Labs ($80 млн) в марте и компрометация Step Finance (до $40 млн) в феврале. Аналитики отмечают сдвиг векторов атак: 76% убытков в начале года пришлось на компрометацию инфраструктуры (кражи приватных ключей, социальную инженерию, атаки на цепочки поставок), а не на уязвимости в коде смарт-контрактов.
