#rsETHAttackUpdate
Шесть дней после крупнейшего взлома DeFi 2026 года, кризис rsETH вошел в свою наиболее критическую фазу восстановления. Атака локализована. Кровотечение остановлено. Но полное решение, включающее распределение плохого долга, восстановление привязки rsETH и восстановление средств на мультицепочках, все еще активно unfolding как минимум на утро сегодня. Вот все подтвержденное сегодня.
Краткое описание атаки Что произошло 18 апреля
18 апреля 2026 года в 17:35 UTC злоумышленник использовал мост LayerZero V2 KelpDAO между Unichain и основной сетью Ethereum. Мост был настроен с катастрофически слабым 1 из 1 DVN, что означало, что один валидаторский узел, управляемый LayerZero Labs, имел полную власть одобрять межцепочечные сообщения без независимой проверки. Злоумышленник отравил инфраструктуру RPC, используемую DVN LayerZero, DDoS-атаками легитимных узлов, чтобы принудительно переключить на скомпрометированные, затем подделал действительное межцепочечное сообщение, которое обмануло мост, заставив его создать 116 500 неподдерживаемых rsETH токенов напрямую на контролируемые злоумышленником адреса. Эти токены немедленно были внесены в Aave V3 в качестве залога, что позволило злоумышленнику занять большие суммы реального WETH против полностью фиктивного обеспечения. Общий ущерб: 292 миллиона USDT — крупнейший взлом DeFi 2026 года.
Прогресс восстановления Что подтверждено сегодня
Восстановление идет, но остается незавершенным. Совет безопасности Arbitrum уже восстановил примерно 70 миллионов USDT в ETH, связанных с атакой, что увеличило сумму с ранее сообщенных 30 766 ETH. Эти средства остаются в промежуточном кошельке в ожидании решения по распределению со стороны руководства. Однако большая часть украденных активов уже была переведена через THORChain, что значительно усложняет полное восстановление. Мультиподписка KelpDAO заблокировала основные контракты вскоре после обнаружения взлома, что успешно заблокировало вторую попытку кражи примерно на 95 миллионов USDT, подтверждая, что механизмы экстренного реагирования сработали правильно после первоначального взлома. Общий уровень восстановления остается значительно ниже 50% от общего украденного на 24 апреля.
Объединенная индустриальная коалиция DeFi формируется
Самое важное событие сегодня — официальное расширение инициативы по восстановлению DeFi United, скоординированной отраслевой спасательной операции, возглавляемой Aave, для стабилизации поддержки rsETH и устранения плохого долга на пострадавших платформах кредитования. Подтвержденные взносы по состоянию на 24 апреля включают личное обязательство основателя Aave Стани Кулечова внести 5000 ETH из своих средств, заявляя: «Aave — это моя жизненная работа, и мы работаем без остановки, чтобы найти наилучший возможный исход для пользователей». Управление EtherFi получило подавляющее одобрение от 1800 держателей токенов, одобрив взнос до 5000 ETH из казны DAO. Lido Finance обязалась выделить до 2500 stETH исключительно для устранения разрыва в поддержке rsETH. Фонд Golem и Golem Factory совместно внесли 1000 ETH из своих казначейств. LayerZero также предложила вклад в восстановление поддержки rsETH, заявив, что тесно сотрудничает с Aave, EtherFi, Ethena, Arbitrum и Kelp на протяжении всего процесса. Tydro, Ink Foundation и Mantle присоединились к коалиции, при этом Mantle предложила крупный структурированный заем для поддержки ликвидности Aave. В течение одной недели ожидается публикация всеобъемлющей дорожной карты, в которой будут подробно описаны все участвующие организации и методики распределения средств.
Официальный ответ Aave, статус заморозки резервов
Гвардия Aave инициировала экстренные заморозки рынков rsETH и wrsETH во всех развертываниях в течение 77 минут после первоначальной атаки, в 18:52 UTC 18 апреля. По состоянию на 24 апреля резервы rsETH остаются приостановленными в Ethereum Core, Arbitrum, Base, Mantle и Linea, при этом Aave явно заявил, что расширенная пауза предназначена для максимального восстановления средств по мере продвижения планов решения. Управление Aave отключило рынки rsETH как в V3, так и в V4. Все остальные пулы Aave остаются полностью безопасными и функционирующими, инцидент касается исключительно rsETH и не отражает уязвимости самого протокола Aave.
Более широкое распространение DeFi Вся картина ущерба
Заражение распространилось далеко за пределы KelpDAO. Aave зафиксировал чистые оттоки в размере 6200 миллионов USDT, что составляет снижение на 23%. Morpho потерял 716 миллионов USDT, снизившись на 9%. Sky protocol потерял 272 миллиона USDT, снизившись на 4%. JupLend потерял 76 миллионов USDT, снизившись на 8%. Общий TVL DeFi сразу после атаки снизился примерно на 10 миллиардов USDT, при этом JPMorgan оценивает более широкий эффект экосистемы в 20 миллиардов USDT. Lido приостановила свой продукт EarnETH, который имел примерно 9% своего TVL, прямо подверженного rsETH KelpDAO, и создала буфер ликвидности в 3 миллиона USDT, обрабатывая выводы по запросам до инцидента по предварительным оценкам. DVV, GGV и EarnUSD от Lido подтвердили нулевую прямую экспозицию к rsETH и продолжают работу в обычном режиме. SparkLend и Fluid также ввели экстренные паузы по экспозиции rsETH. Процентные ставки, зависящие от использования, резко выросли на нескольких платформах кредитования, что вынудило заемщиков снизить левередж и скорректировать портфели по всему экосистеме.
Текущее состояние средств пользователей по типам позиций
Безопасность средств пользователей полностью зависит от продукта и цепочки, через которые они держали активы.
Держатели rsETH в основной сети Ethereum, обеспеченные легитимными депозитами EigenLayer, сохраняют свою поддержку. Делегации EigenLayer были полностью подтверждены и никогда не были скомпрометированы. Пользователи Aave с позициями без rsETH во всех пулах полностью в безопасности и не пострадали. Пользователи, держащие обернутый rsETH в сетях Layer 2, сталкиваются с реальной неопределенностью — резерв поддержки этих токенов сломан, и распределение потерь по цепочкам еще не было официально определено. Пользователи, подавшие заявки на вывод EarnETH до кризиса ликвидности, получат средства по предварительным оценкам до инцидента. Запросы на вывод позже будут обработаны после нормализации условий ликвидности. Официальные рекомендации всех пострадавших протоколов остаются без изменений: не взаимодействуйте с rsETH на любой цепочке до объявления официального решения.
Что изменилось в патче безопасности
Конфигурация 1 из 1 DVN, которая позволила этой атаке, признана основной уязвимостью и больше не будет использоваться в будущих развертываниях KelpDAO или LayerZero. LayerZero признала, что рекомендовала конфигурации с несколькими DVN для KelpDAO до взлома, но их протокол все еще позволял развертывания с одним DVN, что сейчас исправляется на уровне протокола. Исследователь безопасности на блокчейне banteg публично отметил, что несколько других проектов по состоянию на 19 апреля все еще использовали конфигурации мостов с одним DVN, включая несколько на Arbitrum, Base и BSC, что вызвало срочные проверки безопасности по всему DeFi. В качестве отраслевого стандарта теперь внедряется минимум 2 из 3 verification для всех высокоценных мостов.
Настроение инвесторов — страх или возможность
Общее настроение рынка относительно rsETH остается очень негативным и сохранится до тех пор, пока не будет опубликована дорожная карта восстановления DeFi United и не будет подтверждено распределение плохого долга. Однако более широкий сектор DeFi показывает ранние признаки «бегства в качество», с капиталом, перетекающим из пострадавших протоколов в некорруптированные альтернативы. Santiment подтвердил появление этого паттерна через шесть дней после последствий Kelp. Скорость и масштаб инициативы DeFi United, уже с более чем 13 500 ETH, обещают более масштабное восстановление, чем любые предыдущие усилия по восстановлению после взлома DeFi, и свидетельствуют о зрелости экосистемы. Тот факт, что 1800 держателей токенов EtherFi проголосовали подавляющим большинством за развертывание капитала для восстановления, подтверждает, что механизмы управления DeFi могут мобилизоваться в кризисные сроки, когда ставки очень высоки.
Уроки для безопасности DeFi Что это навсегда меняет
Теперь в DeFi реализуются три структурных изменения, вызванных этим взломом. Во-первых, конфигурации с одним DVN полностью исключаются из всех крупных протоколов мостов — атака KelpDAO показала, что компрометация одного валидатора может вывести сотни миллионов за минуты. Во-вторых, внедряется мониторинг инвариантов в реальном времени, отслеживающий соотношение блокировки и создания токенов на всех цепочках одновременно, как обязательное требование безопасности, а не как опциональный модуль. В-третьих, обсуждаются ограничения концентрации TVL мостов в управлении, чтобы ни один мост не мог держать резервное обеспечение для значительной части циркулирующего предложения токена без автоматических автоматических прерываний.
График восстановления
Базовый сценарий — 30–60 дней для выполнения дорожной карты DeFi United, распределения плохого долга и начала повторного открытия рынков rsETH по цепочкам, начиная с основной сети Ethereum. Оптимистичный сценарий восстановления rsETH зависит от трех переменных: окончательного утверждения всех капитальных обязательств DeFi United в течение недели, одобрения руководством Arbitrum по распределению 70 миллионов USDT восстановленных средств и отсутствия дополнительных движений со стороны злоумышленника через THORChain, усложняющих расследование на цепочке.
Для существующих держателей rsETH это ситуация «поддерживай и наблюдай», а не «продавай в неликвидность» и не «покупай», пока не будет подтвержден официальный путь восстановления. Для более широкой экосистемы DeFi инициатива DeFi United — это самый сильный скоординированный кризисный ответ в истории сектора. Если она удастся, это установит новый стандарт того, как DeFi справляется с черными лебедями. Если нет — политическое давление на обязательное страхование DeFi и аудит безопасности мостов станет неизбежным.
Атака завершена. Восстановление началось. Итог зависит от того, смогут ли крупнейшие игроки DeFi выполнить свои самые важные обязательства.
Шесть дней после крупнейшего взлома DeFi 2026 года, кризис rsETH вошел в свою наиболее критическую фазу восстановления. Атака локализована. Кровотечение остановлено. Но полное решение, включающее распределение плохого долга, восстановление привязки rsETH и восстановление средств на мультицепочках, все еще активно unfolding как минимум на утро сегодня. Вот все подтвержденное сегодня.
Краткое описание атаки Что произошло 18 апреля
18 апреля 2026 года в 17:35 UTC злоумышленник использовал мост LayerZero V2 KelpDAO между Unichain и основной сетью Ethereum. Мост был настроен с катастрофически слабым 1 из 1 DVN, что означало, что один валидаторский узел, управляемый LayerZero Labs, имел полную власть одобрять межцепочечные сообщения без независимой проверки. Злоумышленник отравил инфраструктуру RPC, используемую DVN LayerZero, DDoS-атаками легитимных узлов, чтобы принудительно переключить на скомпрометированные, затем подделал действительное межцепочечное сообщение, которое обмануло мост, заставив его создать 116 500 неподдерживаемых rsETH токенов напрямую на контролируемые злоумышленником адреса. Эти токены немедленно были внесены в Aave V3 в качестве залога, что позволило злоумышленнику занять большие суммы реального WETH против полностью фиктивного обеспечения. Общий ущерб: 292 миллиона USDT — крупнейший взлом DeFi 2026 года.
Прогресс восстановления Что подтверждено сегодня
Восстановление идет, но остается незавершенным. Совет безопасности Arbitrum уже восстановил примерно 70 миллионов USDT в ETH, связанных с атакой, что увеличило сумму с ранее сообщенных 30 766 ETH. Эти средства остаются в промежуточном кошельке в ожидании решения по распределению со стороны руководства. Однако большая часть украденных активов уже была переведена через THORChain, что значительно усложняет полное восстановление. Мультиподписка KelpDAO заблокировала основные контракты вскоре после обнаружения взлома, что успешно заблокировало вторую попытку кражи примерно на 95 миллионов USDT, подтверждая, что механизмы экстренного реагирования сработали правильно после первоначального взлома. Общий уровень восстановления остается значительно ниже 50% от общего украденного на 24 апреля.
Объединенная индустриальная коалиция DeFi формируется
Самое важное событие сегодня — официальное расширение инициативы по восстановлению DeFi United, скоординированной отраслевой спасательной операции, возглавляемой Aave, для стабилизации поддержки rsETH и устранения плохого долга на пострадавших платформах кредитования. Подтвержденные взносы по состоянию на 24 апреля включают личное обязательство основателя Aave Стани Кулечова внести 5000 ETH из своих средств, заявляя: «Aave — это моя жизненная работа, и мы работаем без остановки, чтобы найти наилучший возможный исход для пользователей». Управление EtherFi получило подавляющее одобрение от 1800 держателей токенов, одобрив взнос до 5000 ETH из казны DAO. Lido Finance обязалась выделить до 2500 stETH исключительно для устранения разрыва в поддержке rsETH. Фонд Golem и Golem Factory совместно внесли 1000 ETH из своих казначейств. LayerZero также предложила вклад в восстановление поддержки rsETH, заявив, что тесно сотрудничает с Aave, EtherFi, Ethena, Arbitrum и Kelp на протяжении всего процесса. Tydro, Ink Foundation и Mantle присоединились к коалиции, при этом Mantle предложила крупный структурированный заем для поддержки ликвидности Aave. В течение одной недели ожидается публикация всеобъемлющей дорожной карты, в которой будут подробно описаны все участвующие организации и методики распределения средств.
Официальный ответ Aave, статус заморозки резервов
Гвардия Aave инициировала экстренные заморозки рынков rsETH и wrsETH во всех развертываниях в течение 77 минут после первоначальной атаки, в 18:52 UTC 18 апреля. По состоянию на 24 апреля резервы rsETH остаются приостановленными в Ethereum Core, Arbitrum, Base, Mantle и Linea, при этом Aave явно заявил, что расширенная пауза предназначена для максимального восстановления средств по мере продвижения планов решения. Управление Aave отключило рынки rsETH как в V3, так и в V4. Все остальные пулы Aave остаются полностью безопасными и функционирующими, инцидент касается исключительно rsETH и не отражает уязвимости самого протокола Aave.
Более широкое распространение DeFi Вся картина ущерба
Заражение распространилось далеко за пределы KelpDAO. Aave зафиксировал чистые оттоки в размере 6200 миллионов USDT, что составляет снижение на 23%. Morpho потерял 716 миллионов USDT, снизившись на 9%. Sky protocol потерял 272 миллиона USDT, снизившись на 4%. JupLend потерял 76 миллионов USDT, снизившись на 8%. Общий TVL DeFi сразу после атаки снизился примерно на 10 миллиардов USDT, при этом JPMorgan оценивает более широкий эффект экосистемы в 20 миллиардов USDT. Lido приостановила свой продукт EarnETH, который имел примерно 9% своего TVL, прямо подверженного rsETH KelpDAO, и создала буфер ликвидности в 3 миллиона USDT, обрабатывая выводы по запросам до инцидента по предварительным оценкам. DVV, GGV и EarnUSD от Lido подтвердили нулевую прямую экспозицию к rsETH и продолжают работу в обычном режиме. SparkLend и Fluid также ввели экстренные паузы по экспозиции rsETH. Процентные ставки, зависящие от использования, резко выросли на нескольких платформах кредитования, что вынудило заемщиков снизить левередж и скорректировать портфели по всему экосистеме.
Текущее состояние средств пользователей по типам позиций
Безопасность средств пользователей полностью зависит от продукта и цепочки, через которые они держали активы.
Держатели rsETH в основной сети Ethereum, обеспеченные легитимными депозитами EigenLayer, сохраняют свою поддержку. Делегации EigenLayer были полностью подтверждены и никогда не были скомпрометированы. Пользователи Aave с позициями без rsETH во всех пулах полностью в безопасности и не пострадали. Пользователи, держащие обернутый rsETH в сетях Layer 2, сталкиваются с реальной неопределенностью — резерв поддержки этих токенов сломан, и распределение потерь по цепочкам еще не было официально определено. Пользователи, подавшие заявки на вывод EarnETH до кризиса ликвидности, получат средства по предварительным оценкам до инцидента. Запросы на вывод позже будут обработаны после нормализации условий ликвидности. Официальные рекомендации всех пострадавших протоколов остаются без изменений: не взаимодействуйте с rsETH на любой цепочке до объявления официального решения.
Что изменилось в патче безопасности
Конфигурация 1 из 1 DVN, которая позволила этой атаке, признана основной уязвимостью и больше не будет использоваться в будущих развертываниях KelpDAO или LayerZero. LayerZero признала, что рекомендовала конфигурации с несколькими DVN для KelpDAO до взлома, но их протокол все еще позволял развертывания с одним DVN, что сейчас исправляется на уровне протокола. Исследователь безопасности на блокчейне banteg публично отметил, что несколько других проектов по состоянию на 19 апреля все еще использовали конфигурации мостов с одним DVN, включая несколько на Arbitrum, Base и BSC, что вызвало срочные проверки безопасности по всему DeFi. В качестве отраслевого стандарта теперь внедряется минимум 2 из 3 verification для всех высокоценных мостов.
Настроение инвесторов — страх или возможность
Общее настроение рынка относительно rsETH остается очень негативным и сохранится до тех пор, пока не будет опубликована дорожная карта восстановления DeFi United и не будет подтверждено распределение плохого долга. Однако более широкий сектор DeFi показывает ранние признаки «бегства в качество», с капиталом, перетекающим из пострадавших протоколов в некорруптированные альтернативы. Santiment подтвердил появление этого паттерна через шесть дней после последствий Kelp. Скорость и масштаб инициативы DeFi United, уже с более чем 13 500 ETH, обещают более масштабное восстановление, чем любые предыдущие усилия по восстановлению после взлома DeFi, и свидетельствуют о зрелости экосистемы. Тот факт, что 1800 держателей токенов EtherFi проголосовали подавляющим большинством за развертывание капитала для восстановления, подтверждает, что механизмы управления DeFi могут мобилизоваться в кризисные сроки, когда ставки очень высоки.
Уроки для безопасности DeFi Что это навсегда меняет
Теперь в DeFi реализуются три структурных изменения, вызванных этим взломом. Во-первых, конфигурации с одним DVN полностью исключаются из всех крупных протоколов мостов — атака KelpDAO показала, что компрометация одного валидатора может вывести сотни миллионов за минуты. Во-вторых, внедряется мониторинг инвариантов в реальном времени, отслеживающий соотношение блокировки и создания токенов на всех цепочках одновременно, как обязательное требование безопасности, а не как опциональный модуль. В-третьих, обсуждаются ограничения концентрации TVL мостов в управлении, чтобы ни один мост не мог держать резервное обеспечение для значительной части циркулирующего предложения токена без автоматических автоматических прерываний.
График восстановления
Базовый сценарий — 30–60 дней для выполнения дорожной карты DeFi United, распределения плохого долга и начала повторного открытия рынков rsETH по цепочкам, начиная с основной сети Ethereum. Оптимистичный сценарий восстановления rsETH зависит от трех переменных: окончательного утверждения всех капитальных обязательств DeFi United в течение недели, одобрения руководством Arbitrum по распределению 70 миллионов USDT восстановленных средств и отсутствия дополнительных движений со стороны злоумышленника через THORChain, усложняющих расследование на цепочке.
Для существующих держателей rsETH это ситуация «поддерживай и наблюдай», а не «продавай в неликвидность» и не «покупай», пока не будет подтвержден официальный путь восстановления. Для более широкой экосистемы DeFi инициатива DeFi United — это самый сильный скоординированный кризисный ответ в истории сектора. Если она удастся, это установит новый стандарт того, как DeFi справляется с черными лебедями. Если нет — политическое давление на обязательное страхование DeFi и аудит безопасности мостов станет неизбежным.
Атака завершена. Восстановление началось. Итог зависит от того, смогут ли крупнейшие игроки DeFi выполнить свои самые важные обязательства.
