В апреле 2026 года криптоиндустрия столкнулась с самым серьезным вызовом безопасности за последние годы. Kelp DAO подвергся эксплойту на сумму $293 млн из-за уязвимости кроссчейн-моста, что стало крупнейшим единичным инцидентом месяца. По состоянию на 22 апреля общий объем украденных средств за апрель превысил $500 млн. Это не только установило новый рекорд месячных потерь, но и выявило системные риски в дизайне взаимодействия между кроссчейн-протоколами DeFi. В отличие от прежних локальных инцидентов, эта атака продемонстрировала высокую взаимосвязь: после взлома одного протокола риски быстро распространились на основные рынки кредитования и пул ликвидности.
Почему уязвимость одного валидатора — критическая ошибка для кроссчейн-мостов
Техническая основа атаки связана с механизмом валидации кроссчейн-моста. Мост, используемый Kelp DAO, работал на архитектуре с одним валидатором: для подтверждения кроссчейн-сообщений требовалась подпись только одного узла. Злоумышленники получили доступ к приватному ключу этого валидатора, подделали запросы на вывод средств и массово перевели заблокированные активы на внешние адреса. Анализ блокчейна показал, что атакующий обошел проверки мультиподписей и ограничения по времени в одной транзакции. Этот вектор атаки не нов — проблема одного валидатора привлекла внимание индустрии еще после инцидента с Ronin Bridge в 2022 году. Однако случай с Kelp DAO демонстрирует, что некоторые протоколы до сих пор не внедрили децентрализацию валидаторов как базовый стандарт безопасности.
Как эксплойт Kelp DAO повлиял на кредитные рынки, такие как Aave
Резервы Kelp DAO включали крупные объемы stETH и wstETH, которые также используются как залог на кредитных протоколах, например, Aave. После атаки украденные средства быстро обменяли на ETH, что привело к резкому отклонению курса stETH/ETH от паритета. Пользователи с соответствующими залоговыми позициями столкнулись с риском ликвидации, а использование пула stETH на Aave за считанные часы превысило 85%. Механизмы ликвидации Aave частично поглотили плохую задолженность, но паника на рынке вынудила крупных держателей закрывать позиции, что дополнительно снизило ликвидность. По данным Gate, на 22 апреля 2026 года цена stETH составляла $3 012,50, а спред к спотовому ETH увеличился примерно на 0,7 процентных пункта по сравнению с уровнем до инцидента.
Есть ли координированный паттерн атак за апрельскими потерями свыше $500 млн?
Рассматривая инцидент с Kelp DAO в контексте событий апреля, можно выделить серию атак с похожими характеристиками. Помимо Kelp DAO, в этом месяце были атакованы еще три средних DeFi-протокола, потерявшие примерно $85 млн, $62 млн и $41 млн соответственно. Общие черты: все инциденты связаны с кроссчейн-мостами или протоколами обмена сообщениями, злоумышленники использовали уязвимости привилегий валидаторов, а украденные средства в итоге поступили на одну и ту же группу адресов миксер-сервисов. Фирмы, отслеживающие блокчейн, отметили, что маршруты отмывания в разных инцидентах были практически идентичны, что указывает на возможную координацию одной группой атакующих. Такая концентрированная стратегия представляет для отрасли беспрецедентный вызов.
Почему так сложно полностью перекрыть маршруты отмывания северокорейских хакеров?
Совместный отчет FBI и аналитических компаний по блокчейну показал, что около 70% средств, украденных в апрельских атаках на DeFi, были переведены на адреса, связанные с Lazarus Group — широко известной северокорейской киберпреступной организацией. В случае Kelp DAO после получения $293 млн злоумышленники распределили средства по более чем 50 новым адресам, перевели их в сеть Bitcoin и затем использовали миксер-сервисы для многоуровневого сокрытия. Такой маршрут использует различия в регулировании и отслеживании между блокчейнами, что делает традиционные механизмы заморозки неэффективными. Несмотря на то, что многие биржи теперь обмениваются данными черных списков, переход злоумышленников к децентрализованным кроссчейн-агрегаторам значительно снизил эффективность перехвата.
Нужно ли внедрять обязательные механизмы изоляции в аудитах безопасности кроссчейн-мостов?
В настоящее время аудит кроссчейн-мостов в индустрии в основном фокусируется на корректности кода, редко затрагивая вопросы изоляции рисков на уровне экономической модели. Инцидент с Kelp DAO выявил критическую проблему: даже если смарт-контракт моста не содержит ошибок, единая точка отказа в привилегиях валидатора может привести к полной потере заблокированных активов. Некоторые команды безопасности теперь рекомендуют обязательные механизмы изоляции, например, установку независимых лимитов риска для каждой кроссчейн-транзакции и внедрение схем мультивалидаторных пороговых подписей. Еще один подход — распределять заблокированные активы по нескольким независимым страховым пулам, чтобы взлом одного пула не угрожал всей системе. Хотя такие решения могут увеличить расходы на газ, они необходимы для снижения системных рисков.
Как DeFi-протоколы могут обеспечить кроссчейн-интероперабельность без сторонних мостов?
Одним из долгосрочных последствий инцидента с Kelp DAO стало возросшее внимание индустрии к вопросам доверия к сторонним кроссчейн-мостам. Все больше протоколов исследуют нативные кроссчейн-решения, такие как децентрализованные сети валидаторов (например, LayerZero), либо развертываются напрямую в унифицированных мультичейн-средах исполнения. Другой путь — отказаться от кроссчейн-обертки активов в пользу прямых обменов на основе атомарных свопов или децентрализованных оракулов. Хотя такие подходы могут снизить ликвидность и удобство для пользователей, они устраняют мост как единую точку отказа. В перспективе 2026 год может стать переломным для DeFi: переход от «зависимости от мостов» к «нативным мультичейн» архитектурам.
От $293 млн до $500 млн: где критическая точка для инвестиций в безопасность?
Суммарные потери за апрель превысили $500 млн, что уже больше общего бюджета на безопасность, потраченного DeFi-протоколами за тот же период. Это означает, что даже при комплексных аудитах текущий уровень инвестиций недостаточен для покрытия потенциальных убытков. С экономической точки зрения, когда ожидаемая прибыль от атак значительно превышает стоимость защиты, рыночные силы не способны сдерживать хакеров. Индустрии необходимы не только лучшие аудиты кода, но и системы мониторинга и оповещения на блокчейне, аварийные фонды и децентрализованные страховые рынки. После инцидента с Kelp DAO ряд ведущих протоколов объявили о повышении расходов на безопасность с 5% до более 15% годового бюджета. Насколько это позволит снизить будущие потери, зависит от готовности индустрии инвестировать системно, а не только в функциональные слои.
Заключение
Эксплойт Kelp DAO на $293 млн и суммарные потери апреля свыше $500 млн стали определяющим моментом для безопасности DeFi в 2026 году. Технической причиной стала уязвимость одного валидатора в кроссчейн-мосте, а последствия распространились на кредитные рынки, такие как Aave, и на всю экосистему ликвидности. Маршруты отмывания, связанные с северокорейскими хакерами, дополнительно выявили сложности кроссчейн-отслеживания. Индустрии необходимо одновременно совершенствовать стандарты аудита, архитектуру мостов, системы мониторинга и оповещения, а также увеличивать бюджеты на безопасность, чтобы сдерживать рост числа и масштабов атак.
FAQ
Вопрос: Привел ли эксплойт Kelp DAO к окончательным потерям пользовательских активов?
Ответ: Команда Kelp DAO обратилась к компаниям по безопасности для отслеживания украденных средств и планирует компенсировать пострадавших пользователей. По состоянию на 22 апреля большая часть украденных средств не была возвращена, а убытки покрываются совместно из казны протокола и страхового фонда.
Вопрос: Испытал ли Aave реальную плохую задолженность в результате этого инцидента?
Ответ: Механизмы ликвидации Aave успешно обработали большинство рискованных позиций, и протокол не стал неплатежеспособным. Однако краткосрочная волатильность из-за отклонения курса stETH привела к тому, что некоторые ликвидаторы получили повышенные вознаграждения, при этом работа протокола в целом осталась стабильной.
Вопрос: Как обычные пользователи могут снизить риски, связанные с кроссчейн-мостами?
Ответ: Рекомендуется минимизировать время хранения крупных активов на одном кроссчейн-мосте, отдавать предпочтение мостам с многократными аудитами и достаточным числом валидаторов или использовать нативные мультичейн-протоколы и централизованные биржи для кроссчейн-трансферов, чтобы снизить риски смарт-контрактов и валидаторов.
Вопрос: Почему северокорейские хакеры часто атакуют DeFi-протоколы?
Ответ: Данные блокчейн-отслеживания показывают, что с 2022 года Lazarus Group похитила более $2 млрд криптоактивов. Считается, что эти средства используются для финансирования разработки вооружений в Северной Корее и обхода международных санкций. Анонимность и кроссчейн-композиционность DeFi делают его идеальным каналом для отмывания таких активов.
