Основатель сети Tron Джастин Сан публично обратился к хакерам, похитившим 293 миллиона долларов из протокола Kelp DAO, предложив им вступить в переговоры. В своём сообщении в X Сан заявил: «Хакер Kelp DAO, сколько ты хочешь? Давай поговорим. С помощью Kelp DAO, конечно. Просто не стоит жертвовать и Aave, и Kelp DAO и позволять им рухнуть из-за этого взлома. Ты всё равно не сможешь потратить 300 миллионов долларов».
Взлом произошёл 18 апреля. Злоумышленники атаковали мост Kelp DAO в сети LayerZero и вывели 116 500 токенов rsETH, которые представляют собой ликвидные деривативы для стейкинга Ethereum. На момент атаки общая стоимость активов (TVL) в Kelp DAO составляла 1,5 миллиарда долларов. Протокол немедленно приостановил все функции управления, пулы депозитов и выводов, а также заблокировал токен rsETH в основной сети и сетях второго уровня.
Последствия взлома оказались контагиозными и затронули крупнейшего кредитора DeFi — протокол Aave. Хакеры использовали украденные токены rsETH в качестве залога в Aave для получения крупных кредитов в ETH, что привело к образованию «плохих долгов». Это спровоцировало массовый отток средств пользователей: инвесторы вывели почти 25% активов, размещённых в протоколе. По некоторым оценкам, из ликвидностных рынков Aave было выведено активов на сумму свыше 54 миллиардов долларов. Общая стоимость заблокированных средств в Aave упала до уровня чуть выше 34 миллиардов долларов.
Несмотря на то что Aave заморозил рынки rsETH на своей платформе, паника продолжилась. В своём последнем обновлении команда Aave сообщила, что токены rsETH остаются замороженными в версиях протокола V3 и V4, а также что «риски, связанные с инцидентом, ограничены». При этом резервы WETH также заморожены на затронутых рынках, включая Ethereum, Arbitrum, Base, Mantle и Linea.
Расследование указывает на возможную причастность северокорейской хакерской группы Lazarus. Протокол кросс-чейн коммуникаций LayerZero заявил, что предварительные данные указывают на «высокопрофессионального государственного актора, вероятно, группу Lazarus из КНДР, в частности, подразделение TraderTraitor». По их данным, инцидент был изолирован и связан с конфигурацией rsETH в KelpDAO из-за использования ими уязвимой одноканальной настройки валидатора (single-DVN).
В криптосообществе также растут слухи о возможном внутреннем сговоре. Наблюдатели отмечают, что о проблеме безопасности, связанной с использованием единственного валидатора в LayerZero, в форумах управления KelpDAO предупреждали ещё 15 месяцев назад. Решение протокола с активами в сотни миллионов долларов использовать минимально возможную конфигурацию безопасности вызывает вопросы.
Этот взлом стал крупнейшим в индустрии DeFi в 2026 году, увеличив общий объём похищенных из криптопроектов средств до 771 миллиона долларов. Ранее, в феврале 2025 года, хакеры похитили 1,4 миллиарда долларов с биржи Bybit.
Интересно, что сам Джастин Сан, чья биржа HTX активно использует Aave для размещения резервов (по данным Protos, на декабрь 2025 года через Aave было размещено более 1,4 миллиарда долларов в стейблкоине USDT из резервов HTX), сумел вернуть около 65 584 ETH (примерно 154 миллиона долларов). Мотивы его публичного обращения к хакерам остаются не до конца ясными.
