#rsETHAttackUpdate
Використання rsETH у результаті експлойти KelpDAO rsETH, що сталася 18 квітня 2026 року, є переломним моментом у децентралізованих фінансах, відкриваючи критичні вразливості у міжланцюговій інфраструктурі та одночасно демонструючи здатність галузі до скоординованої реакції на кризу. Ця інцидент, унаслідок якого було створено та розгорнуто приблизно $292 мільйонів непідкріплених токенів rsETH на кількох кредитних протоколах, вимагає всебічного аналізу з технічної, економічної та системної точок зору.
**Технічна архітектура експлойти**
Атака націлилася на основний механізм перевірки інфраструктури мосту KelpDAO, що працює на LayerZero. Adapter rsETH OFT KelpDAO на Ethereum був налаштований з конфігурацією мережі децентралізованих перевіряльників a1-of-1, тобто LayerZero Labs виступали єдиним відповідальним за перевірку міжланцюгових повідомлень. Ця конфігурація, хоча й спрощувала операції, створювала єдину точку відмови, що стала катастрофічною.
Методика зловмисника демонструє високий рівень розуміння вразливостей інфраструктури блокчейна. Спочатку він отримав список RPC-нодів, що використовуються DVN LayerZero Labs. Потім він зламав два з цих вузлів, замінивши легітимні бінарні файли op-geth на зловмисні версії, які подавали підроблені дані виключно IP-адресам DVN, при цьому виглядаючи чесними для всіх інших спостерігачів. Це вибіркове отруєння дозволило зловмисним вузлам зберігати ілюзію легітимності, подаючи неправдиву інформацію до критичної інфраструктури перевірки.
На останньому етапі відбувся скоординований DDoS-атака на залишкові чисті вузли, що змусила систему перейти до повного відмовлення від зламаної інфраструктури. З отруєними вузлами як єдиним доступним варіантом, зловмисник подав підроблене міжланцюгове повідомлення, що нібито походить від розгортання Unichain KelpDAO. DVN підтвердив це повідомлення, базуючись на сфабрикованому стані на ланцюгу, підтвердження мульти-сигу 2 з 3 пройшло, і підроблений пакет був сертифікований як дійсний, що спричинило випуск 116 500 rsETH на адресу, контрольовану зловмисником.
**Механізм поширення**
Що відрізняє цю експлойти від простих зломів мостів, так це складне використання DeFi-композабельності для посилення шкоди. Замість спроби продати викрадені rsETH на відкритих ринках, що могло б обвалити ціну токена і обмежити прибутки зловмисника, він депонув непідкріплені токени як заставу у кількох кредитних протоколах. Ця стратегія дозволила витягти реальну цінність з екосистеми, залишаючи токсичний борг.
Зловмисник депонував 89 567 rsETH як заставу на Aave V3, позичаючи приблизно $190 мільйонів у WETH та wstETH. Додаткові депозити були зроблені у Compound V3, Euler та інших кредитних платформах. Цей підхід експлуатував фундаментальну асиметрію в DeFi-кредитуванні: протоколи приймали rsETH як заставу за її номінальною вартістю, але токени фактично були непідкріпленими і фактично безцінними. В результаті утворився поганий борг, що тепер значиться у балансах цих протоколів, а позичений ETH представляє реальну цінність, витягнуту з депозиторів.
**Оцінка економічного впливу**
Фінансові наслідки виходять далеко за межі початкової експлойти-вартості $292 мільйонів. Тільки Aave оцінює можливий поганий борг у діапазоні від 123,7 мільйонів доларів за рівномірних сценаріїв де-пегу до 230,1 мільйонів за сценаріями із ізоляцією Layer2. Пули WETH протоколу тепер містять приблизно $177 мільйонів у поганому боргу, що означає ETH, позичений із використанням викраденого rsETH як застави. Цей борг фіксований у ETH, тоді як заставу знецінилося, створюючи нерозв'язний дисбаланс без зовнішнього втручання.
Широка екосистема DeFi зазнала значних поширювальних ефектів. Загальна заблокована вартість (TVL) Aave знизилася з приблизно $22 мільярдів до 15,4 мільярдів доларів за 48 годин, що становить зниження на 30%, оскільки депозитори поспішали зняти кошти. Більше ніж $7 мільярдів активів втекло з провідних протоколів, з Aave лише вивели 6,2 мільярдів доларів. Токен AAVE знизився приблизно на 11%, тоді як rsETH торгується з істотним де-пегом, коливаючись між 1680 та 2250 доларами на різних біржах у порівнянні з його цільовим ETH-пегом.
Vault EarnETH Lido оприлюднив непрямий ризик близько 21,6 мільйонів доларів у rsETH, що становить приблизно 9% від загальних активів vault. Це відкриття підкреслює, як взаємопов’язаність стратегій DeFi може передавати ризики між, здавалося б, незалежними протоколами.
**Реакція DeFi-спільноти**
Реакція галузі на цю кризу була безпрецедентною і поучною. Aave взяла на себе лідерство у координації так званої "DeFi United" — спільних зусиль з відновлення, що залучають кілька провідних протоколів. Ця ініціатива є значним кроком у розвитку управління DeFi, що переходить від ізольованих протоколів до скоординованого управління кризовими ситуаціями у всій екосистемі.
На 25 квітня DAO Aave запропонувала внести 25 000 ETH із свого казначейства для підтримки відновлювальних заходів. Ця сума, оцінена приблизно у 65-70 мільйонів доларів, має покрити залишковий дефіцит у близько 75 081 ETH після врахування існуючих зобов’язань. DAO Lido запропонувала внести до 2 500 stETH, а також кілька "сильних індикативних зобов’язань" від інших учасників екосистеми, включаючи EtherFi, Ethena та мережу Mantle, яка надала кредитний ліміт у 30 000 ETH.
Рада безпеки Arbitrum заморозила та перевела 30 766 ETH на суму приблизно $80 мільйонів доларів з ідентифікованої адреси зловмисника для забезпечення збереження активів, демонструючи, що швидке управлінське реагування може частково зменшити шкоду навіть після складних експлойтів.
**Атрибуція та геополітичні аспекти**
Chainalysis і LayerZero приписують атаку групі Lazarus з Північної Кореї, зокрема підгрупі TraderTraitor. Це надає інциденту геополітичного виміру, підкреслюючи, що державні актори все частіше цілеспрямовано атакують протоколи DeFi як джерела фінансування санкціонованих режимів. Залучення висококваліфікованих державних акторів свідчить про ескалацію загроз у сфері децентралізованих фінансів.
Атрибуція також викликала суперечки між KelpDAO і LayerZero щодо відповідальності за експлойт. LayerZero стверджує, що конфігурація 1-of-1 DVN була вибором KelpDAO і не є рекомендованою за замовчуванням, тоді як KelpDAO наполягає, що зламаний перевіряльник був інфраструктурою LayerZero і що конфігурація була стандартною для їхнього впровадження. Це суперечка підкреслює складність визначення відповідальності у взаємопов’язаних системах DeFi.
**Системні наслідки для DeFi**
Експлойти rsETH виявляє кілька критичних вразливостей сучасної архітектури DeFi. По-перше, залежність від конфігурацій з однією точкою відмови у міжланцюгових мостах є неприпустимим ризиком при таких обсягах. Конфігурація 1-of-1 DVN, що дозволила цю експлойти, має слугувати застереженням для всіх протоколів, що використовують міжланцюгову інфраструктуру.
По-друге, ця атака демонструє, що композабельність у DeFi, хоча й дає змогу створювати потужні фінансові примітиви, також створює механізми системного поширення ризиків. Можливість депонувати заставу у кількох протоколах і витягати реальну цінність із непідкріплених активів створює ефекти посилення, що можуть перетворити ізольовані інциденти у кризу всьої екосистеми.
По-третє, інцидент виявляє обмеження сучасних практик управління ризиками у DeFi-кредитуванні. Прийняття rsETH як застави з високими коефіцієнтами позики без належної оцінки безпеки мосту відображає ширший тренд галузі щодо недооцінки ризиків "хвостових" подій у гонитві за високими доходами.
**Уроки та майбутні перспективи**
Експлойти rsETH, ймовірно, вплине на розвиток DeFi протягом наступних років. З цієї події випливають кілька ключових уроків:
Міжланцюгова інфраструктура потребує принципово інших засад безпеки, ніж системи на одному ланцюгу. Складність перевірки стану на кількох ланцюгах створює поверхні для атак, які можуть використати висококваліфіковані зловмисники. Протоколи мають впроваджувати резервні механізми перевірки та уникати єдиних точок відмови у конфігурації мостів.
Параметри ризику для заставних активів мають враховувати оцінку безпеки мостів. Поточна практика розглядати міжланцюгові активи як еквівалентні їхнім нативним, ігнорує додаткові ризики, що виникають через міжланцюгову інфраструктуру. Протоколи кредитування мають встановлювати нижчі коефіцієнти позики та вищі пороги ліквідації для міжланцюгових активів.
Моніторинг у реальному часі та забезпечення інваріантів є необхідними для раннього виявлення експлойтів. Атака rsETH могла бути запобігти або зменшена через постійний моніторинг, що підтверджує відповідність випущених токенів на цільових ланцюгах з тими, що згоріли на вихідних. Такі системи моніторингу мають стати стандартом для всіх міжланцюгових протоколів.
Реакція DeFi United демонструє, що координація екосистеми можлива і ефективна. Хоча децентралізоване управління зазвичай рухається повільно, ця криза показала, що протоколи можуть швидко координуватися, коли виникає екзистенційна загроза. Цю здатність до колективних дій слід формалізувати через галузеві стандарти та договори взаємодопомоги.
**Висновок**
Експлойти rsETH є і водночас провалом і успіхом для децентралізованих фінансів. Провал полягає у недостатніх практиках безпеки, що дозволили висококваліфікованому зловмиснику використати фундаментальні вразливості міжланцюгової інфраструктури. Успіх — у здатності галузі скоординувати відповідь, яка потенційно запобігатиме найгіршим наслідкам для користувачів і депозиторів.
Поки триває процес відновлення і протоколи впроваджують уроки, ця інцидент, ймовірно, запам’ятається як переломний момент у зрілості DeFi. Перехід від ізольованих протоколів до взаємопов’язаного екосистемного цілого несе як можливості, так і ризики, і експлойти rsETH слугує яскравим нагадуванням, що безпека має розвиватися разом із зростанням складності. Наступні місяці покажуть, чи зможе галузь перетворити ці уроки у довгострокові покращення у міжланцюговій безпеці та системному управлінні ризиками.
Використання rsETH у результаті експлойти KelpDAO rsETH, що сталася 18 квітня 2026 року, є переломним моментом у децентралізованих фінансах, відкриваючи критичні вразливості у міжланцюговій інфраструктурі та одночасно демонструючи здатність галузі до скоординованої реакції на кризу. Ця інцидент, унаслідок якого було створено та розгорнуто приблизно $292 мільйонів непідкріплених токенів rsETH на кількох кредитних протоколах, вимагає всебічного аналізу з технічної, економічної та системної точок зору.
**Технічна архітектура експлойти**
Атака націлилася на основний механізм перевірки інфраструктури мосту KelpDAO, що працює на LayerZero. Adapter rsETH OFT KelpDAO на Ethereum був налаштований з конфігурацією мережі децентралізованих перевіряльників a1-of-1, тобто LayerZero Labs виступали єдиним відповідальним за перевірку міжланцюгових повідомлень. Ця конфігурація, хоча й спрощувала операції, створювала єдину точку відмови, що стала катастрофічною.
Методика зловмисника демонструє високий рівень розуміння вразливостей інфраструктури блокчейна. Спочатку він отримав список RPC-нодів, що використовуються DVN LayerZero Labs. Потім він зламав два з цих вузлів, замінивши легітимні бінарні файли op-geth на зловмисні версії, які подавали підроблені дані виключно IP-адресам DVN, при цьому виглядаючи чесними для всіх інших спостерігачів. Це вибіркове отруєння дозволило зловмисним вузлам зберігати ілюзію легітимності, подаючи неправдиву інформацію до критичної інфраструктури перевірки.
На останньому етапі відбувся скоординований DDoS-атака на залишкові чисті вузли, що змусила систему перейти до повного відмовлення від зламаної інфраструктури. З отруєними вузлами як єдиним доступним варіантом, зловмисник подав підроблене міжланцюгове повідомлення, що нібито походить від розгортання Unichain KelpDAO. DVN підтвердив це повідомлення, базуючись на сфабрикованому стані на ланцюгу, підтвердження мульти-сигу 2 з 3 пройшло, і підроблений пакет був сертифікований як дійсний, що спричинило випуск 116 500 rsETH на адресу, контрольовану зловмисником.
**Механізм поширення**
Що відрізняє цю експлойти від простих зломів мостів, так це складне використання DeFi-композабельності для посилення шкоди. Замість спроби продати викрадені rsETH на відкритих ринках, що могло б обвалити ціну токена і обмежити прибутки зловмисника, він депонув непідкріплені токени як заставу у кількох кредитних протоколах. Ця стратегія дозволила витягти реальну цінність з екосистеми, залишаючи токсичний борг.
Зловмисник депонував 89 567 rsETH як заставу на Aave V3, позичаючи приблизно $190 мільйонів у WETH та wstETH. Додаткові депозити були зроблені у Compound V3, Euler та інших кредитних платформах. Цей підхід експлуатував фундаментальну асиметрію в DeFi-кредитуванні: протоколи приймали rsETH як заставу за її номінальною вартістю, але токени фактично були непідкріпленими і фактично безцінними. В результаті утворився поганий борг, що тепер значиться у балансах цих протоколів, а позичений ETH представляє реальну цінність, витягнуту з депозиторів.
**Оцінка економічного впливу**
Фінансові наслідки виходять далеко за межі початкової експлойти-вартості $292 мільйонів. Тільки Aave оцінює можливий поганий борг у діапазоні від 123,7 мільйонів доларів за рівномірних сценаріїв де-пегу до 230,1 мільйонів за сценаріями із ізоляцією Layer2. Пули WETH протоколу тепер містять приблизно $177 мільйонів у поганому боргу, що означає ETH, позичений із використанням викраденого rsETH як застави. Цей борг фіксований у ETH, тоді як заставу знецінилося, створюючи нерозв'язний дисбаланс без зовнішнього втручання.
Широка екосистема DeFi зазнала значних поширювальних ефектів. Загальна заблокована вартість (TVL) Aave знизилася з приблизно $22 мільярдів до 15,4 мільярдів доларів за 48 годин, що становить зниження на 30%, оскільки депозитори поспішали зняти кошти. Більше ніж $7 мільярдів активів втекло з провідних протоколів, з Aave лише вивели 6,2 мільярдів доларів. Токен AAVE знизився приблизно на 11%, тоді як rsETH торгується з істотним де-пегом, коливаючись між 1680 та 2250 доларами на різних біржах у порівнянні з його цільовим ETH-пегом.
Vault EarnETH Lido оприлюднив непрямий ризик близько 21,6 мільйонів доларів у rsETH, що становить приблизно 9% від загальних активів vault. Це відкриття підкреслює, як взаємопов’язаність стратегій DeFi може передавати ризики між, здавалося б, незалежними протоколами.
**Реакція DeFi-спільноти**
Реакція галузі на цю кризу була безпрецедентною і поучною. Aave взяла на себе лідерство у координації так званої "DeFi United" — спільних зусиль з відновлення, що залучають кілька провідних протоколів. Ця ініціатива є значним кроком у розвитку управління DeFi, що переходить від ізольованих протоколів до скоординованого управління кризовими ситуаціями у всій екосистемі.
На 25 квітня DAO Aave запропонувала внести 25 000 ETH із свого казначейства для підтримки відновлювальних заходів. Ця сума, оцінена приблизно у 65-70 мільйонів доларів, має покрити залишковий дефіцит у близько 75 081 ETH після врахування існуючих зобов’язань. DAO Lido запропонувала внести до 2 500 stETH, а також кілька "сильних індикативних зобов’язань" від інших учасників екосистеми, включаючи EtherFi, Ethena та мережу Mantle, яка надала кредитний ліміт у 30 000 ETH.
Рада безпеки Arbitrum заморозила та перевела 30 766 ETH на суму приблизно $80 мільйонів доларів з ідентифікованої адреси зловмисника для забезпечення збереження активів, демонструючи, що швидке управлінське реагування може частково зменшити шкоду навіть після складних експлойтів.
**Атрибуція та геополітичні аспекти**
Chainalysis і LayerZero приписують атаку групі Lazarus з Північної Кореї, зокрема підгрупі TraderTraitor. Це надає інциденту геополітичного виміру, підкреслюючи, що державні актори все частіше цілеспрямовано атакують протоколи DeFi як джерела фінансування санкціонованих режимів. Залучення висококваліфікованих державних акторів свідчить про ескалацію загроз у сфері децентралізованих фінансів.
Атрибуція також викликала суперечки між KelpDAO і LayerZero щодо відповідальності за експлойт. LayerZero стверджує, що конфігурація 1-of-1 DVN була вибором KelpDAO і не є рекомендованою за замовчуванням, тоді як KelpDAO наполягає, що зламаний перевіряльник був інфраструктурою LayerZero і що конфігурація була стандартною для їхнього впровадження. Це суперечка підкреслює складність визначення відповідальності у взаємопов’язаних системах DeFi.
**Системні наслідки для DeFi**
Експлойти rsETH виявляє кілька критичних вразливостей сучасної архітектури DeFi. По-перше, залежність від конфігурацій з однією точкою відмови у міжланцюгових мостах є неприпустимим ризиком при таких обсягах. Конфігурація 1-of-1 DVN, що дозволила цю експлойти, має слугувати застереженням для всіх протоколів, що використовують міжланцюгову інфраструктуру.
По-друге, ця атака демонструє, що композабельність у DeFi, хоча й дає змогу створювати потужні фінансові примітиви, також створює механізми системного поширення ризиків. Можливість депонувати заставу у кількох протоколах і витягати реальну цінність із непідкріплених активів створює ефекти посилення, що можуть перетворити ізольовані інциденти у кризу всьої екосистеми.
По-третє, інцидент виявляє обмеження сучасних практик управління ризиками у DeFi-кредитуванні. Прийняття rsETH як застави з високими коефіцієнтами позики без належної оцінки безпеки мосту відображає ширший тренд галузі щодо недооцінки ризиків "хвостових" подій у гонитві за високими доходами.
**Уроки та майбутні перспективи**
Експлойти rsETH, ймовірно, вплине на розвиток DeFi протягом наступних років. З цієї події випливають кілька ключових уроків:
Міжланцюгова інфраструктура потребує принципово інших засад безпеки, ніж системи на одному ланцюгу. Складність перевірки стану на кількох ланцюгах створює поверхні для атак, які можуть використати висококваліфіковані зловмисники. Протоколи мають впроваджувати резервні механізми перевірки та уникати єдиних точок відмови у конфігурації мостів.
Параметри ризику для заставних активів мають враховувати оцінку безпеки мостів. Поточна практика розглядати міжланцюгові активи як еквівалентні їхнім нативним, ігнорує додаткові ризики, що виникають через міжланцюгову інфраструктуру. Протоколи кредитування мають встановлювати нижчі коефіцієнти позики та вищі пороги ліквідації для міжланцюгових активів.
Моніторинг у реальному часі та забезпечення інваріантів є необхідними для раннього виявлення експлойтів. Атака rsETH могла бути запобігти або зменшена через постійний моніторинг, що підтверджує відповідність випущених токенів на цільових ланцюгах з тими, що згоріли на вихідних. Такі системи моніторингу мають стати стандартом для всіх міжланцюгових протоколів.
Реакція DeFi United демонструє, що координація екосистеми можлива і ефективна. Хоча децентралізоване управління зазвичай рухається повільно, ця криза показала, що протоколи можуть швидко координуватися, коли виникає екзистенційна загроза. Цю здатність до колективних дій слід формалізувати через галузеві стандарти та договори взаємодопомоги.
**Висновок**
Експлойти rsETH є і водночас провалом і успіхом для децентралізованих фінансів. Провал полягає у недостатніх практиках безпеки, що дозволили висококваліфікованому зловмиснику використати фундаментальні вразливості міжланцюгової інфраструктури. Успіх — у здатності галузі скоординувати відповідь, яка потенційно запобігатиме найгіршим наслідкам для користувачів і депозиторів.
Поки триває процес відновлення і протоколи впроваджують уроки, ця інцидент, ймовірно, запам’ятається як переломний момент у зрілості DeFi. Перехід від ізольованих протоколів до взаємопов’язаного екосистемного цілого несе як можливості, так і ризики, і експлойти rsETH слугує яскравим нагадуванням, що безпека має розвиватися разом із зростанням складності. Наступні місяці покажуть, чи зможе галузь перетворити ці уроки у довгострокові покращення у міжланцюговій безпеці та системному управлінні ризиками.
