Зламано Kelp DAO за 293 мільйони доларів

Протокол рестейкінгу ліквідних криптовалют Kelp DAO став жертвою найбільшого DeFi-хаку 2026 року. Зловмисник викрав 116 500 ETH вартістю 293 мільйони доларів через вразливість у контракті OFT на базі LayerZero. Замість простого обміну хакер миттєво вніс вкрадені токени в Aave (а також Compound V3 та Euler) та позичив чисті WETH/ETH на суму понад 236 мільйонів доларів.

__КОРОТКИЙ_ТОКЕН_0__

Це викликало ланцюгову реакцію. Створення величезної безнадійної заборгованості (оцінюється в 177–280 мільйонів доларів) у пулах Aave викликало паніку серед китів. За даними Lookonchain, з протоколу було виведено активів на суму понад 5,4 мільярда доларів у форматі ETH. Використання пулу WETH досягло 100%, TVL Aave впав більш ніж на 6 мільярдів доларів (з понад 26 мільярдів доларів до ~22 мільярдів доларів), а токен $AAVE обвалився на 20% за 24 години.

__КОРОТКИЙ_ТОКЕН_1__

Як розгорнувся хак

Атака відбулася о 17:35 UTC через підроблене крос-чейн повідомлення в LayerZero (функція lzReceive). Зловмисник створив фальшиву інструкцію з однорангового контракту (ймовірно, на Unichain), що змусило OFT-адаптер Kelp DAO видати 116 500 rsETH (18% від усієї циркулюючої пропозиції) безпосередньо з ескроу без будь-якого реального забезпечення.

Це не був класичний баг смарт-контрактів у самому Kelp, а експлойт на рівні мосту з використанням однофакторної DVN-валідації.

Хакер ніколи не продавав rsETH на децентралізованих біржах. Натомість він одразу ж використав токени як заставу за кількома протоколами кредитування та вивів реальний ETH. Всього за 46 хвилин Kelp DAO призупинив контракти, а ще дві спроби хакера (ще приблизно на 200 мільйонів доларів) були успішно заблоковані.

Реакції протоколу

• Kelp DAO негайно призупинив усі контракти rsETH в основній мережі Ethereum та на кожному рівні L2 (Arbitrum, Base, Scroll тощо). Офіційна заява: «Ми працюємо з LayerZero, аудиторами та експертами з безпеки над аналізом першопричин».
• Aave заморозила всі ринки rsETH як на V3, так і на V4. Засновник Стані Кулечов наголосив: «Сам Aave не був зламаний — проблема полягає у використанні rsETH як застави».
• SparkLend, Fluid та Upshift також запровадили обмеження у разі надзвичайних ситуацій.

Вплив на ринок

• rsETH на L2 тепер стикається з серйозним ризиком депегації, підтримка основної мережі порушена.
• Загалом, DeFi TVL впав більш ніж на 10 мільярдів доларів через поширену паніку.
• Це вже другий злом на дев'ятизначну суму за місяць (після експлойту Drift Protocol на 285 мільйонів доларів). 2026 рік має всі шанси побити всі рекорди за обсягами експлойтів DeFi.

Хакер почав відмивати кошти через Tornado Cash. Повернення активів наразі виглядає малоймовірним, хоча засновник Tron Джастін Сан публічно запропонував «поговорити» зі зловмисником.