- Злом зачепив токен rsETH і спричинив ланцюгову реакцію в DeFi-проєктах.
- Зловмисник використав уразливість мостового контракту.
- Щонайменше дев’ять протоколів призупинили операції з активом.
Протокол ліквідного рестейкінгу KelpDAO зазнав атаки, внаслідок якої викрадено $293 млн. Інцидент стався 18 квітня 2026 року та зачепив токен rsETH.
У KelpDAO повідомили про «підозрілу міжмережеву активність» і зупинили операції з rsETH в основній мережі та низці рішень другого рівня. Розслідування інциденту триває.
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…— Kelp (@KelpDAO) April 18, 2026
За даними команди Cyvers, зловмисник скористався уразливістю в мостовому контракті адаптера rsETH, який відповідає за переміщення токена між мережами.
Ланцюгова реакція в DeFi
Після інциденту низка децентралізованих платформ обмежила операції зі згаданим активом через свою залежність від токена. Щонайменше дев’ять протоколів мали експозицію до rsETH і були змушені призупинити активність.
Зокрема, платформа Aave заморозила ринки з активом у версіях V3 і V4.
Значну частину викрадених коштів — близько $250 млн — уже конвертовано в Ethereum. Для фінансування атаки використовувалися адреси, пов’язані з міксером Tornado Cash.
The rsETH markets on Aave V3 and Aave V4 have been frozen. Aave's contracts have not been exploited and this is an exploit related to rsETH.
The freeze follows an exploit of the Kelp DAO rsETH bridge. Freezing the rsETH markets prevents new deposits and borrowing against rsETH…— Aave (@aave) April 18, 2026
У Cyvers зазначили, що те, що сталося, демонструє ризики залежності DeFi-протоколів від сторонніх активів та інфраструктури.
Атака на KelpDAO стала частиною серії великих інцидентів у галузі. За оцінками експертів, втрати криптоіндустрії від зломів і шахрайства в I кварталі 2026 року перевищили $500 млн.
Наприклад, у квітні невідомий атакував проєкт Drift Protocol на $280 млн. За даними команди проєкту, рейд готувався протягом кількох місяців і включав елементи соціальної інженерії.
Вкрасти за 60 секунд: як хакер зломав Drift Protocol на $280 млн і шокував DeFi-ринок 02.04.2026 Читати
Нагадаємо, ми писали, що Tether запропонувала Drift Protocol понад $127 млн для покриття збитків після зламу.
Сообщение Протокол рестейкінгу KelpDAO втратив $293 млн унаслідок хакерської атаки появились сначала на INCRYPTED.
