Сообщается, что злоумышленник использовал уязвимость в токене rsETH liquid restaking от KelpDAO 18 апреля 2026 года, выведя, по оценкам, 280 миллионов долларов или больше в Ethereum и Arbitrum.
Основные выводы:
- ZachXBT указал на кражу на сумму 280 млн долларов+ в DeFi-протоколах Ethereum и Arbitrum 18 апреля 2026 года.
- Эксплойт KelpDAO создал проблемную задолженность на Aave V3, из‑за чего токен AAVE просел примерно на 10–13%.
- KelpDAO не подтверждал взлом; аналитики отслеживают шесть идентифицированных кошельков злоумышленника в поисках подсказок для восстановления средств.
Эксплойт DeFi в Ethereum: атака на KelpDAO rsETH выкачала более 280 млн долларов
Ончейн-исследователь ZachXBT разместил первоначальное предупреждение в своем публичном Telegram-канале незадолго до 15:00 по восточному времени (ET), перечислив шесть адресов кошельков, связанных с кражей, и отметив, что кошельки атакующего были профинансированы через Tornado Cash до начала вывода средств. В публикации говорилось о потерях свыше 280 миллионов долларов в нескольких DeFi-протоколах без прямого упоминания KelpDAO, однако ончейн-аналитики связали эти адреса в течение нескольких часов.
«Похоже, у KelpDAO час назад украли 280 млн долларов+ в Ethereum и Arbitrum», — написал ZachXBT. «Адреса атаки были профинансированы через Tornado Cash.»
По сообщениям, злоумышленники воспользовались уязвимостью в rsETH-инфраструктуре KelpDAO, что привело к несанкционированному выпуску большой партии токена liquid restaking без внесения нового залога. Затем приобретенный rsETH был размещен в кредитных рынках Aave V3 как в Ethereum, так и в Arbitrum, где атакующий занял существенные объемы ETH и других активов под него.
Когда легитимность залога была поставлена под сомнение, эти позиции оставили Aave с проблемной задолженностью. Оценки сообщества по суммарным потерям варьировались от 100 миллионов до примерно 293 миллионов долларов; это соответствует примерно 116 500 rsETH по текущим ценам.
На новостях AAVE резко просел. Данные рынка показывают снижение в диапазоне 10–13% в течение часов после первоначального предупреждения: рынок оценивал потенциальное наличие проблемной задолженности в кредитных пулах протокола. Мультисиг-гвардиан AAVE заморозил rsETH на кредитных рынках, согласно ончейн-данным.
Токены liquid restaking вроде rsETH глубоко встроены в компонуемость DeFi. Их принимают в качестве залога одновременно на нескольких кредитных рынках, из‑за чего эксплойт может быстро распространить потери по платформам. Инцидент KelpDAO демонстрирует это напрямую.
Кошельки атакующего, перечисленные ZachXBT, показывали крупные позиции в ETH на Aave и Compound. Согласно сообщениям, один адрес в момент обнаружения держал примерно 120 миллионов долларов в ETH на Aave. Средства переводились быстро после инцидента.
Использование Tornado Cash для предварительного финансирования операционных кошельков перед атакой — стандартная тактика для злоумышленников, пытающихся скрыть происхождение средств. Это не указывает на новую технику, но подтверждает, что операция была продуманной и запланированной.
По состоянию примерно на 15:00 по ET 18 апреля KelpDAO не опубликовал официальное заявление или пост‑мортем. Сообщество следило за аккаунтом X и сайтом проекта в ожидании ответа, а также за каналами Aave governance на предмет любых экстренных действий.
Фирмы по безопасности DeFi, включая Peckshield, Slowmist и другие, на момент подготовки материала еще не публиковали подробный разбор, что отражает, как быстро развивалась ситуация. ZachXBT не публиковал последующее сообщение с прямым именованием KelpDAO в публичных каналах, однако пересечение адресов провело четкую линию.
Этот инцидент отдельный от эксплойта Drift Protocol, о котором впервые сообщило Bitcoin.com News 1 апреля 2026 года; тогда, в частности, было выведено примерно 280 миллионов долларов преимущественно на Solana, прежде чем USDC был перебриджен в Ethereum через CCTP. Механика, сети и таймлайны различаются.
Любому, кто держал rsETH или связанные позиции на Aave, Compound или других кредитных рынках, сообщество рекомендовало пересмотреть подверженность рискам, пока ситуация оставалась неразрешенной.
Шесть идентифицированных ZachXBT кошельков атакующего остаются активными целями для ончейн‑трассировки, пока аналитики пытаются нанести на карту, куда ушли средства после вывода из Aave.
Примечание редактора: Эта статья была обновлена в 16:00 по ET, чтобы отметить, что мультисиг-гвардиан Aave заморозил rsETH на определенных кредитных рынках.
