Kelp DAO стикається з масштабною кризою безпеки після очевидного експлойту на його кросчейновому мосту rsETH, який вивів близько 116 500 rsETH, що на момент атаки оцінювалося приблизно в $292 млн. За даними звітів та on‑chain‑даних, нападник, ймовірно, використав повідомлення LayerZero, щоб ініціювати випуск коштів із системи мосту Kelp DAO. Інцидент швидко розповсюдився по криптовалютних ринках, оскільки rsETH широко використовується в DeFi, зокрема як заставу на платформах кредитування.
Ця справа важлива, оскільки rsETH — це ліквідний токен рестейкінгу. Це означає, що користувачі вносять активи, пов’язані зі staking’ом Ethereum, і отримують токен, яким можна переміщати, торгувати або використовувати в DeFi, залишаючись при цьому під впливом staking’у. Kelp DAO створив rsETH для роботи на багатьох блокчейнах, і саме там ризик зростав. Стандарт OFT (Omnichain Fungible Token) LayerZero розроблений для переміщення одного токену через кілька ланцюжків, зберігаючи спільну емісію. Це спрощує кросчейнове використання, але також робить безпеку мосту центральною для безпеки токену.
За повідомленнями, перше успішне виведення відбулося о 17:35 UTC. Kelp DAO через приблизно 46 хвилин використав свій екстрений мультисиг‑паузер, щоб заморозити основні контракти. Це призупинення, здається, заблокувало дві подальші спроби вивести ще 40 000 rsETH. Kelp повідомив, що виявив підозрілу кросчейнову активність і співпрацює з LayerZero, Unichain, аудиторами та зовнішніми експертами з безпеки для розслідування причин. Простими словами, атака, схоже, вразила логіку мосту, що дозволяє rsETH переміщатися між мережами, а не звичайний гаманець або просту помилку фронтенду.
Атака також викликала занепокоєння, оскільки гаманцем, пов’язаним з експлойтом, нібито фінансували через Tornado Cash до інциденту. У DeFi‑експлойтах це часто сигналізує про спробу приховати слід грошей. Дослідник блокчейну ZachXBT відзначив атаку незабаром після її виникнення, і спостерігачі ринку почали аналізувати, якою часткою rsETH було уражено. За повідомленнями, вкрадено близько 18 % циркулюючого rsETH, що достатньо, щоб створити стрес у ринках кредитування, цінових фідах та ризикових системах.
Саме тому Aave діяв швидко. Aave заморозив ринки rsETH на V3 і V4 і заявив, що їхні смарт‑контракти не були джерелом експлойту. Головна проблема для Aave — це поганий борг. У кредитуванні поганий борг може з’явитися, коли застави втрачають вартість або їх не вдається ліквідувати вчасно. Документація Aave зазначає, що ризики мосту та мережі можуть посилювати цю проблему. Їхня система Umbrella була створена як автоматичний on‑chain інструмент ризику, призначений допомагати покривати дефіцити, хоча пізніше Aave пом’якшила формулювання і заявила, що розгляне способи компенсувати будь‑який дефіцит від цього інциденту.
Це також не перша проблема з rsETH. Kelp DAO мав інший інцидент у квітні 2025 року, коли було призупинено депозити та зняття після того, як помилка у контракті збору комісій призвела до надмірного створення rsETH. Kelp заявив, що в тому випадку кошти користувачів не були втрачено, проте новий експлойт набагато серйозніший, оскільки, схоже, передбачає пряму втрату коштів у великому масштабі. Ця історія важлива. У криптовалютному світі один інцидент можна розглядати як помилку. Два інциденти протягом року піднімають складніші питання щодо дизайну, тестування та оперативних контролів.
Головний урок з експлойту Kelp DAO — ризик DeFi не закінчується на одному протоколі. Атака на міст може вразити токен, потім поширитися на ринки кредитування і вплинути на користувачів, які взагалі не торкалися моста. Це прихована вартість композитності. Системи, такі як Kelp DAO, LayerZero та Aave, створені для з’єднання криптовалютних ринків, але міцні зв’язки також швидше піддаються навантаженню, коли щось ламається. Для користувачів експлойт Kelp DAO є нагадуванням, що ліквідний рестейкінг, кросчейнові токени та дохід у DeFi можуть забезпечувати гнучкість, проте вони також додають шари ризику смарт‑контрактів, ризику мосту та ризику застави, які можуть одночасно зазнати провалу.
