Взлом протокола Kelp на $293 млн привел к системному кризису ликвидности в DeFi-экосистеме

19 апреля команда протокола Kelp, предоставляющего ликвидные средства для рестекинга, зафиксировала подозрительную кроссчейн-активность с токеном rsETH и экстренно приостановила смарт-контракты в основной сети и ряде решений второго уровня.

По данным аналитиков Cyvers, уязвимость была связана с контрактом адаптера моста, который управляет токеном. Злоумышленникам удалось вывести около $293 млн в токенах rsETH на адрес, связанный с миксером Tornado Cash. Порядка $250 млн украденных активов были конвертированы в ETH, а остальные задействованы в дальнейших операциях в Kelp, что усилило давление на смежные протоколы.

Так, атака быстро вышла за пределы одной платформы. По оценкам специалистов по кибербезопасности, как минимум восемь DeFi-протоколов использовали rsETH и были вынуждены ограничить операции с активом. Среди них:

1. Aave заморозил рынки rsETH в версиях V3 и V4.
2. Fluid ограничил операции с rsETH для предотвращения дальнейшего распространения риска и возможных заимствований под залог скомпрометированного актива.
3. Compound Finance приостановил использование rsETH в качестве обеспечения, чтобы исключить риск недообеспеченных позиций.
4. SparkLend ввел ограничения на операции с токеном и усилил параметры риска по связанным пулам ликвидности.
5. Euler заморозил рынки с экспозицией к rsETH, чтобы избежать цепной ликвидации позиций.
6. Curve Finance приостановил использование связанной с rsETH инфраструктуры и начал анализ влияния на соответствующие пулы ликвидности.
7. Ethena ограничил взаимодействие с затронутыми активами для защиты стейблкоин-механизмов.
8. BitGo приостановил использование связанных с WBTC мостов и интеграций, чтобы минимизировать риск вторичного заражения.

Многие другие протоколы также ввели превентивные ограничения или временно заморозили операции с rsETH на фоне возникшей неопределенности. Инцидент выявил системные риски компонуемости в DeFi-экосистеме, при которой уязвимость одного протокола распространяется на связанные сервисы.

Последствия атаки оказались значительными для рынка децентрализованного кредитования. В частности, в протоколе Aave злоумышленник использовал похищенные активы как залог для заимствований, сформировав около $195 млн «плохого долга», что спровоцировало массовый отток ликвидности. Согласно данным DeFiLlama, совокупная стоимость заблокированных средств (TVL) в протоколе снизилась с $26,4 млрд до $18,6 млрд менее чем за сутки. Пулы стейблкоинов USDT и USDC оказались полностью загружены, что временно ограничило возможность вывода более чем $5,1 млрд. Рынок также отреагировал снижением стоимости токена AAVE почти на 20%. Согласно данным CoinGecko, котировки актива упали с $112 до $89,5 за сутки.

Эксперты связывают первопричину атаки с уязвимостью кроссчейн-инфраструктуры и отсутствием изоляции залоговых активов, используемых в DeFi-кредитовании. По их оценке, инцидент продемонстрировал, насколько быстро локальная уязвимость может перерасти в системный кризис ликвидности.

Напомним, согласно данным Global Ledger, в 2025 году при осуществлении примерно 68% атак средства начинали перемещаться еще до того, как информация о взломе становилась публичной. О том, как сократить время реакции AML-команд и опередить хакеров, читайте в специальном материале CP Media.