ГЛАВНАЯ ТЕМА: Kelp DAO взломали на $292 млн, рынки rsETH на Aave заморожены

Протокол ликвидного рестейкинга @KelpDAO сегодня лишился 116"500 rsETH общей стоимостью около $292 млн. Похищенные токены злоумышленник оперативно прогнал через @aave, Compound V3 и Euler, чтобы занять свыше $236 млн в $wETH. Атака началась в 17:35 UTC: злоумышленник вызвал функцию LayerZero lzReceive в контракте EndpointV2 и отправил поддельный межсетевой пакет. Это позволило обманом заставить мост Kelp разблокировать rsETH на кошельки, заранее пополненные через Tornado Cash. Исследователь @zachxbt сообщил об инциденте незадолго до 15:00 по восточному времени США. Экстренная пауза через мультиподпись у Kelp сработала в 18:21 UTC, спустя 46 минут после первого вывода. Две последующие попытки в 18:26 и 18:28 UTC завершились откатом транзакций: в каждой злоумышленник пытался вывести еще по 40"500 rsETH, что примерно соответствует $100 млн. Украденный объем равен 18% от циркулирующего предложения rsETH, оцениваемого примерно в 630"500 токенов. rsETH развернут более чем в 20 сетях, что усилило вопросы к обеспечению обернутых версий на L2. @aave, SparkLend, Fluid и @upshift_fi заморозили рынки rsETH. Основатель Aave Стани Кулечов подтвердил, что контракты протокола не были скомпрометированы, а rsETH "не имеет заемной силы". Впервые в крупном реальном инциденте проходит проверку механизм Umbrella, который заменил прежний Safety Module в конце 2025 года. @LidoFinance приостановил депозиты earnETH. @ethena_labs из предосторожности на примерно шесть часов остановила свои мосты LayerZero OFT, заявив об отсутствии экспозиции к rsETH. На фоне новости токен $AAVE снизился примерно на 10%. По масштабу инцидент превзошел взлом @DriftProtocol 1 апреля ($285 млн, связывают с Северной Кореей) и стал крупнейшим DeFi-эксплойтом 2026 года.