Криптовалюты21 апреля 2026 г.4 мин чтения
Обложка материала

Хак Kelp rsETH: утечка 116 500 токенов на Ethereum и Arbitrum

Атака на мост KelpDAO позволила злоумышленнику извлечь 116 500 rsETH. Llamarisk объяснил уязвимость в адаптере OFT и возможные последствия для Aave V3.

BuyCurrency Insider
BuyCurrency Insider 21 апреля 2026 г. · 4 мин чтения

Раскрытие инцидента на форуме Aave привлекло внимание сообщества: атака на мост KelpDAO с использованием Layerzero V2 позволила злоумышленнику украсть 116 500 rsETH с Ethereum. При этом токены не были сожжены на исходной цепочке, что указывает на серьёзную уязвимость в архитектуре.

По данным отчёта Llamarisk, злоумышленник воспользовался эксплойтом в адаптере OFT (Optimised Fee Token), который используется для пересчёта токенов между блокчейнами. В результате атаки было возможно извлечение rsETH (rebalanced stETH) без активации защитных механизмов на стороне Ethereum. Это подвергло Aave V3 рынки риску манипуляций и несанкционированного вытаскивания активов.

rsETH — это токен, созданный для оптимизации стейкинга в протоколе Lido. Он позволяет пользователям получать прибыль от стейкинга в Ethereum, не привязываясь к конкретным валидаторам. Однако уязвимость в адаптере OFT позволила обойти стандартные проверки, что стало причиной крупного ущерба.

Специалисты Llamarisk отметили, что инцидент демонстрирует слабые места в системе мостов между блокчейнами. В частности, адаптер OFT не обеспечил должную изоляцию между цепочками, что позволило злоумышленнику переносить активы без активации сжигания на исходной стороне. Это может привести к повторным атакам, если уязвимость не будет устранена.

Руководство Aave пока не комментировало инцидент, но сообщество активно обсуждает необходимость пересмотра архитектуры мостов. Эксперты предупреждают, что подобные утечки могут ослабить доверие к децентрализованным финансовым системам, особенно в условиях роста активов на Ethereum и Arbitrum.

Возможные последствия включают: снижение ликвидности на рынке, рост спроса на альтернативные решения для стейкинга, а также усиление регулирования в секторе DeFi. Важно, что KelpDAO и Lido пока не подтвердили масштабы ущерба, но утечка уже вызвала волну обсуждений в сообществе.

Эксперт по крипто-безопасности Максим Балашевич комментирует: «Подобные инциденты показывают, насколько важно тестировать мосты на проницаемость. Каждый новый протокол увеличивает поверхность атаки, и без строгой проверки таких уязвимостей, как в адаптере OFT, риски будут расти».

На данный момент активы, извлечённые в ходе атаки, не были возвращены. Это подчёркивает необходимость внедрения дополнительных мер защиты, включая двухфакторную аутентификацию для мостов и автоматические сжигания при подозрительной активности.