Післямова: Як трапився злом $272 Мільйон rsETH

​18 квітня 2026 року взаємозв’язана природа децентралізованих фінансів перетворила зовнішню вразливість у катастрофічну системну кризу для Aave. Вишуканий напад на міжланцюгову інфраструктуру Kelp DAO призвів до крадіжки понад $292 Мільйонів у ліквідних токенах для повторного залучення. Використовуючи агресивні параметри ризику Aave, зловмисники витягли $272 Мільйонів у WETH, залишивши звичайних вкладників з постійними втратами та відкривши фатальні недоліки гіперкомпонованої DeFi-архітектури.

​❍ Злом моста LayerZero

​Криза почалася зовнішньо на міжланцюговому адаптерному мосту Kelp DAO, який працює на інфраструктурі LayerZero.

​Маніпуляція: Зловмисники використовували підроблені повідомлення для маніпуляції складним рівнем перевірки моста, отримуючи права адміністратора.

​Здобуток: Ця технічна маніпуляція дозволила їм вивести 116 500 rsETH безпосередньо на контрольований зловмисником гаманець.

​Масштаб: Ця сума становила приблизно 18 відсотків від глобального обігу rsETH, що має вартість понад $292 Мільйонів.

​❍ Використання ефективного режиму Aave

​Зловмисники одразу націлилися на глибокі пули ліквідності Aave, депонуючи викрадені rsETH як заставу у обох розгортаннях V3 і V4.

​Максимальне вилучення: Використовуючи режим ефективності (E-Mode) Aave, який класифікує rsETH як високорозвинений у зв’язку з нативним етером, зловмисники забезпечили кредитне співвідношення 93 відсотки. За стандартних параметрів ризику ця позика була б обмежена 72 відсотками.

​Витік: Ця агресивна параметризація дозволила їм витягти $272 Мільйонів у WETH проти незабезпеченої застави. Конфігурація E-Mode дозволила їм витягти більше $62 Мільйонів, ніж дозволяли стандартні налаштування.

​100-відсоткова використаність: Оскільки реальна ринкова вартість rsETH миттєво обвалилася, внутрішня логіка Aave затримала оновлення цін. Протокол поглинув безцінну заставу, підвищуючи рівень використання пулу WETH до точно 100 відсотків і блокуючи легітимних вкладників від їхніх коштів.

​❍ Збої парасольки та вкладники зазнають знецінення

​Охоронці Aave виконали аварійні протоколи, зупинивши всі ринки rsETH і wrsETH для стримування поширення. Це активувало Umbrella, автоматизовану систему управління ризиками в мережі, яка замінила застарілий Модуль безпеки наприкінці 2025 року.

​Недолік: Umbrella автоматично спалив свої заставлені активи для покриття боргу, але сейф містив лише $50 Мільйонів у aWETH, доступних для негайного зняття.

​Фінансовий розрив: За оцінками, загальний борг становив від $177 Мільйонів до $280 Мільйонів, протокол стикнувся з нездоланним фінансовим розривом у діапазоні від $127 Мільйонів до $150 Мільйонів.

​Обов’язкові знецінення: Офіційна документація протоколу стверджує, що після повного згоряння заставних активів Umbrella залишковий дефіцит безпосередньо лягає на звичайних вкладників WETH. Ці користувачі тепер зазнають обов’язкового знецінення, що означає постійну часткову втрату їхнього основного депозиту.

​Деякі випадкові думки 💭

​Ця подія є жорстким уроком у небезпеках компонованості DeFi. Основні смарт-контракти Aave виконалися бездоганно, але протокол все одно був зведений нанівець. Вразливість виникла цілком поза екосистемою Aave у мосту Kelp DAO, але власна агресивна внутрішня параметризація Aave стала кінцевим каталізатором витоку. Коли протокол повністю покладається на математичну логіку без обережного людського контролю, крайні випадки перетворюються на системні збої.

Рішення надати 93 відсотки кредитного співвідношення на похідний актив, такий як rsETH, пріоритетно ставило капітальну ефективність вище за виживання. Для звичайних вкладників WETH, які змушені були прийняти масивне знецінення, різниця між бездоганним смарт-контрактом і недосконалою моделлю ризику не дає ніякого комфорту.

#KelpDAOBridgeHacked