DeFi потерял $13 млрд за месяц: как KelpDAO показал лучшие и худшие стороны индустрии

Восстановление после атаки на KelpDAO: цифры и последствия

Официальный сайт DeFi United сообщает о сборе более 69 550 ETH из 222 кошельков через 1 623 транзакции. Средства направлены на восстановление обеспечения rsETH — токена, пострадавшего в результате крупнейшей атаки в DeFi. Эта инициатива стала первым в отрасли аналогом «кредитора последней инстанции», созданным без участия регуляторов, центральных банков или официальных мандатов.

По данным Aave, первоначальный дефицит rsETH составил около 163 183 ETH. Частичное восстановление произошло за счёт заморозок и ликвидаций: 43 168 ETH поступили от KelpDAO, 30 766 ETH были заморожены Советом безопасности Arbitrum, до 12 323 WETH получены от ликвидаций в Aave, а 1 845 WETH — от Compound. В результате остаточный дефицит сократился до 75 081 ETH.

Как DeFi United приблизил покрытие к цели

По состоянию на апрель 2026 года, DeFi United покрыл 92,5% остаточного дефицита, что составляет около 5 632 ETH. В более широкой перспективе общий объём обязательств достиг 100 200 ETH при целевом показателе в 116 500 ETH (с учётом замороженных средств Arbitrum). Однако большая часть этих сумм зависит от одобрения голосований в DAO, и некоторые ключевые взносы не раскрывают точные суммы.

На инфографике показано, как восстановительные меры сократили дефицит rsETH с 163 183 ETH до оставшихся 5 632 ETH, при этом DeFi United покрыл 92,5% остатка.

Как образовалась дыра в rsETH

Ключевая уязвимость заключалась в конфигурации моста rsETH от KelpDAO, который использовал единственного валидатора — LayerZero Labs. Исследование Galaxy показало, что злоумышленник использовал эту схему для разблокировки 116 500 rsETH из эскроу Ethereum и последующего их использования в качестве залога в протоколах Aave, Compound и Euler. В результате заёмщики получили около $236 млн в WETH и wstETH.

В течение 48 часов общая заблокированная стоимость (TVL) в DeFi упала на $13 млрд. Aave потерял около $8,45 млрд, а использование WETH достигло 100%, так как пользователи массово выводили средства. Это также привело к полной загрузке пулов USDT и USDC.

LayerZero в своём заявлении о инциденте охарактеризовал атаку как «отравление RPC» (RPC poisoning), нацеленное на инфраструктуру децентрализованной сети валидаторов (DVN). Компания не подтвердила наличие уязвимости в собственном протоколе, но признала, что вся атака прошла через конфигурацию с единственным валидатором — LayerZero Labs. В списке DeFi United этот взнос значится как «Подтверждено, уточняется».

Кто и сколько внёс: основные участники восстановления

В таблице ниже представлены основные участники и их взносы в рамках кампании по восстановлению rsETH:

Выводы: уроки и будущее DeFi

Инцидент с KelpDAO и последующее восстановление показали как сильные, так и слабые стороны децентрализованных финансов:

• Плюсы: быстрая мобилизация сообщества, прозрачные механизмы сбора средств, частичное восстановление ликвидности.
• Минусы: концентрация доверия в руках одного валидатора (LayerZero), зависимость от решений DAO, нераскрытые суммы взносов, риски «кредиторов последней инстанции» без регуляторных гарантий.

Эксперты отмечают, что для повышения устойчивости DeFi необходимо:

• Диверсифицировать механизмы валидации в мостах и протоколах.
• Усилить прозрачность при сборе и распределении средств.
• Разработать стандарты экстренных мер, аналогичные традиционным системам страхования.

«Атака на KelpDAO показала, что даже в децентрализованной среде есть точки централизации. Восстановление стало возможным благодаря спонтанной координации сообщества, но без структурных изменений такие инциденты будут повторяться», — комментирует аналитик DeFi.

Пока основные суммы для восстановления rsETH зависят от голосований в DAO, а LayerZero не раскрывает свой взнос, отрасль продолжает искать баланс между инновациями и безопасностью.