Kelp DAO сталкивается с крупным кризисом безопасности после очевидного эксплойта на его кросс‑чейн мосту rsETH, который опустошил около 116 500 rsETH, что на момент атаки стоило примерно 292 млн $. По сообщениям и данным on‑chain, злоумышленник, по всей видимости, использовал сообщения LayerZero, чтобы инициировать выпуск средств из мостовой системы Kelp DAO. Инцидент быстро распространился по криптовалютным рынкам, поскольку rsETH широко используется в DeFi, особенно в качестве залога на платформах кредитования.
Дело важно, потому что rsETH — это ликвидный токен рестейкинга. Это означает, что пользователи вносят активы, связанные со staking‑ом Ethereum, и получают токен, которым они могут перемещать, торговать или использовать в DeFi, одновременно сохраняя экспозицию к staking‑у. Kelp DAO создал rsETH для работы на множестве блокчейнов, и именно там возник риск. Стандарт OFT (Omnichain Fungible Token) от LayerZero предназначен для перемещения одного токена через множество цепей, поддерживая единый общий запас. Это упрощает кросс‑чейн использование, но также делает безопасность моста центральным элементом защиты токена.
Сообщается, что первый успешный слив произошёл в 17:35 UTC. Kelp DAO использовал свой мультисиг «emergency pauser» примерно через 46 минут, чтобы заморозить основные контракты. Эта пауза, как кажется, предотвратила две последующие попытки вывести ещё 40 000 rsETH. Kelp сообщил, что выявил подозрительную кросс‑чейн активность и работает с LayerZero, Unichain, аудиторами и внешними специалистами по безопасности, чтобы расследовать причину. Говоря простыми словами, атака затронула логику моста, позволяющую rsETH перемещаться между сетями, а не обычный кошелёк или простую ошибку фронтенда.
Атака также вызвала опасения, поскольку кошелёк, связанный с эксплойтом, предположительно был профинансирован через Tornado Cash до инцидента. В DeFi‑эксплойтах это часто сигнализирует о попытке скрыть денежный след. Блокчейн‑расследователь ZachXBT отметил атаку сразу после её произошедшего, и наблюдатели рынка начали сосредотачиваться на том, какая часть поставки rsETH была затронута. По сообщениям, украденный объём составлял около 18 % циркулирующего rsETH, что достаточно, чтобы создать стресс в кредитных рынках, ценовых ораклах и системах риска.
Именно поэтому Aave действовал быстро. Aave заморозил рынки rsETH на V3 и V4 и заявил, что его собственные смарт‑контракты не стали источником эксплойта. Более серьёзная проблема для Aave — плохой долг. В кредитовании плохой долг возникает, когда залог теряет стоимость или не может быть ликвидирован вовремя. Документация Aave указывает, что риск моста и сети может способствовать этой проблеме. Их система Umbrella была построена как автоматический on‑chain инструмент управления риском, предназначенный для покрытия дефицитов, хотя позже Aave смягчил публичные формулировки и заявил, что будет искать способы компенсировать любой дефицит, возникший из этого события.
Это также не первая проблема с rsETH. В апреле 2025 года Kelp DAO столкнулся с другим инцидентом, когда приостановил депозиты и выводы после того, как ошибка в контракте комиссии привела к избыточному выпуску rsETH. Kelp сообщил, что в том случае средства пользователей не были потеряны, но новый эксплойт гораздо серьёзнее, поскольку, по всей видимости, подразумевает прямую потерю средств в масштабах. Эта история имеет значение. В криптовалюте один инцидент может восприниматься как ошибка. Два инцидента в течение года поднимают более сложные вопросы о дизайне, тестировании и операционных контролях.
Главный вывод из эксплойта Kelp DAO заключается в том, что риск DeFi не ограничивается одним протоколом. Атака на мост может затронуть токен, затем распространиться на рынки кредитования и затронуть пользователей, которые вообще не имели дела с мостом. Это скрытая стоимость композируемости. Системы вроде Kelp DAO, LayerZero и Aave созданы для соединения криптовалютных рынков, но прочные связи также ускоряют распространение стресса, когда что‑то ломается. Для пользователей эксплойт Kelp DAO служит напоминанием, что ликвидный рестейкинг, кросс‑чейн токены и доходность DeFi могут предоставить гибкость, но они также добавляют уровни риска смарт‑контрактов, моста и залога, которые могут провалиться одновременно.
