rbc.ru
Менее чем за сутки из крупнейшего лендингового протокола на крипторынке Aave вывели активы на сумму $6,2 млрд, или почти 30% всех пользовательских депозитов. Причиной для «бегства» клиентов послужил взлом межесетевого моста Kelp DAO, в результате которого злоумышленники похитили $291 млн. Инцидент связали с северокорейской группировкой Lazarus Group, которую в начале апреля обвинили во взломе криптопротокола Drift на $280 млн. Не прошло еще и половины 2026 года, но эксперты уже оценили его как «вероятно, худший год с точки зрения взломов».
Инцидент последних дней если не самый крупный по сумме ущерба в истории крипторынка, то один из самых масштабных по числу задействованных протоколов в цепочке последствий от взлома. С начала 2026 года ущерб от взломов в DeFi составил по меньшей мере $795 млн. По крайней мере 30 децентрализованных финансовых приложение (DeFi) приостановили или ограничили работу протоколов до выяснения обстоятельств и обеспечения мер безопасности. Этот список включает такие проекты, как Aave, Swell, LayerZero, Spark, Curve, Ethena, Morpho и другие.
Вероятно, что последствия взлома могут быть серьезнее, чем сумма украденных средств. Настолько, что основатель Tron Джастин Сан попытался вступить в переговоры с хакерами через X: «Сколько вы хотите? Просто не стоит приносить в жертву и Aave, и Kelp DAO из-за этого взлома». Но насколько известно к моменту публикации, его предложение осталось без ответа.
И некоторые исследователи связывают резкий рост числа успешных атак с появлением мощных нейросетей, в частности Mythos (Мифос). Искусственный интеллект позволяет хакерам автоматически находить уязвимости в смарт-контрактах и масштабировать атаки с беспрецедентной скоростью.
Взлом Kelp
В субботу 18 апреля злоумышленники атаковали межесетовой мост Kelp DAO, построенный на инфраструктуре LayerZero. За счет уязвимости им удалось сгенерировать 116 500 rsETH, или $291 млн на тот момент. Это ликвидный производный токен, который технически можно использовать в торговых операциях, как и обычные криптоактивы. Однако, в отличие от большинства атак, хакеры не стали сразу выводить средства в стейблкоины, а использовали украденные токены для кредитных операций.
Похищенные rsETH были внесены в Aave в качестве залога. После этого злоумышленники взяли в долг реальные активы (в первую очередь Ethereum и его обернутую версию WETH), создав так называемый плохой долг (bad debt). Это мгновенно сказалось на ликвидности протокола.
В результате в ключевых пулах Ethereum и WETH фактически закончились все доступные для вывода средства, а обычные пользователи, ранее вносившие ликвидность, потеряли возможность вывести свои депозиты.
Эта ситуация похожа на классический «банкран» (от англ. bank run — «набег на банк»), представляющий собой паническое, массовое изъятие вкладчиками своих средств из банка. В основном это происходит из-за сомнений в его финансовой устойчивости, и чем больше людей пытаются снять наличные, тем выше вероятность дефолта банка.
Глава отдела стратегии DeFi-проекта Spark под псевдонимом monetsupply.eth отметил, что пользователи начали занимать средства под залог своих депозитов в стейблкоинах, пытаясь спасти капитал, что лишь усугубило проблему.
Рынок отреагировал однозначно. Хотя общая капитализация крипторынка снизилась примерно на 4%, до $2,5 трлн от пика в день взлома к утру 20 апреля, но за это же время из сектора DeFi вывели около 14% всех пользовательских депозитов. Общая заблокированная сумма средств в секторе составила около $86 млрд к утру 20 апреля.
Основатель Defillama известный в X под именем 0xngmi отметил, что взлом привел к выводу средств со всех протоколов кредитования, даже на Solana (взлом связан с экосистемой Ethereum). На 19 апреля эксперт привел цифры, где из Aave вывели $6,2 млрд, Morpho — $716 млн, Sky — $272 млн, JupLend — $76 млн.
Кто стоит за взломами
Как выяснилось позже, взлом Kelp стал возможен не столько из-за недостатков архитекторы LayerZero, на основе которой работает первый, а в настройках безопасности самой Kelp. В официальном разборе LayerZero прямо указал на игнорирование рекомендаций по безопасности в настройках сетевых узлов.
Злоумышленники скомпрометировали два таких узла, подменив их программное обеспечение, и провели DDoS-атаку на остальные узлы, что автоматически перенаправило данные на подконтрольные хакерам серверы. Эксперты LayerZero связали атаку с северокорейской группировкой Lazarus Group, которую в начале апреля обвиняли во взломе протокола Drift, в результате которого было похищено $285 млн. Таким образом, только за 18 дней одна и та же группировка вывела из DeFi более $575 млн.
Технический директор Ledger Шарль Гийме подчеркнул, что «совершенно точно, что это не какие-то начинающие хакеры», отметив, что 2026 год, вероятно, худший год с точки зрения взломов».
Но не умаляя серьезности инцидента, эксперты все же не так пессимистичны. Основатель крупного DeFi-протокола Curve Михаил Егоров считает произошедшее болезненным, но полезным уроком: «Криптовалюта — это суровая среда, которую не пережил бы ни один банк. Я думаю, что DeFi извлечет урок из этого инцидента и станет сильнее, чем прежде».
Серия взломов в DeFi в апреле дополняется взломами и централизованных платформ. За несколько дней до инцидента с Kelp взлому подверглись российская криптобиржа Grinex и связанный с ней криптосервис TokenSpot. Ущерб оценивается в $15 млн.