Из Aave вывели более $8,6 млрд после взлома Kelp DAO: TVL DeFi-сектора упал на $13,6 млрд

Масштабный отток из Aave: $8,6 млрд за двое суток

Крупнейший DeFi-протокол кредитования Aave потерял более $8,6 млрд заблокированной стоимости (TVL) всего за два дня. Согласно данным DefiLlama, показатель обрушился с $26,3 млрд до $17,7 млрд — инвесторы массово выводили средства после взлома протокола ликвидного рестейкинга Kelp DAO.

Токен AAVE просел более чем на 15%, опустившись до $91. Рыночная капитализация актива сократилась с $1,8 млрд до $1,3 млрд.

Пулы USDT и USDC в Aave v3 оказались полностью опустошены. Активы на сумму $5,1 млрд заморожены — их возврат возможен только при поступлении свежей ликвидности или погашении действующих займов.

Как произошёл взлом Kelp DAO

Катализатором паники стала атака на кроссчейн-мост Kelp DAO, построенный на инфраструктуре LayerZero. 18 апреля злоумышленники похитили 116 500 rsETH общей стоимостью $293 млн.

Украденные токены были депонированы на Aave v3 в качестве обеспечения, после чего хакеры получили под них wETH. Непосредственно через Aave они заняли порядка $196 млн, а совокупный объём позиций на платформах Aave, Compound и Euler составил около $236 млн.

Аналитики Lookonchain оценили «дыру» в балансе проекта примерно в $195 млн — эти средства фактически безвозвратны.

«Due to the KelpDAO exploiter borrowing over 82,600 $ETH ($195M) from #Aave using $RSETH as collateral, bad debt has appeared on #Aave. Many whales have withdrawn funds from #Aave, causing its TVL to drop from $26.396B to $20.114B — a decline of $6.28B.» — Lookonchain (@lookonchain), оригинальный пост

Основатель Curve Finance Михаил Егоров обратил внимание, что Aave и ряд других протоколов оказались с сотнями миллионов долларов в сомнительных залогах и невозвратных долгах. По его словам, у Aave есть rsETH, который невозможно реализовать, при этом весь ETH ушёл на покрытие займов — вывести Ethereum никто не может.

Почему это важно

Инцидент обнажил системную уязвимость DeFi-кредитования: токены из скомпрометированного протокола могут использоваться как залог на других платформах, распространяя последствия взлома по всей экосистеме. TVL всего DeFi-сектора обвалился с $99,4 млрд до $85,8 млрд — потери составили $13,6 млрд.

Отток затронул и Solana: журналист Колин Ву зафиксировал резкий рост ставок по депозитам и коэффициентов загрузки на нескольких рынках USDC в Kamino — ведущем кредитном протоколе сети. Резерв USDC на рынке Prime Market объёмом $178 млн был полностью исчерпан, загрузка ряда других хранилищ превысила 95%.

Рынки rsETH в версиях Aave v3 и v4 заморожены для предотвращения подозрительных операций. Резервы wETH заблокированы на Ethereum, Arbitrum, Base, Mantle и Linea.

«The rsETH markets on Aave V3 and Aave V4 have been frozen. Aave's contracts have not been exploited and this is an exploit related to rsETH. The freeze follows an exploit of the Kelp DAO rsETH bridge.» — Aave (@aave), оригинальный пост

Первоначально команда Aave заявляла, что резервный фонд Umbrella покроет любой дефицит, однако позже формулировку смягчили до «изучения путей компенсации». Использование моста Kelp DAO приостановили Curve Finance, Ethena и другие протоколы, работающие с rsETH или LayerZero.

Расследование LayerZero: след северокорейских хакеров

Команда LayerZero опубликовала предварительные результаты расследования.

Публикация LayerZero (@LayerZero_Core)

Согласно выводам разработчиков, за атакой стоят хакеры из Северной Кореи — группировка TraderTraitor, причастная к взломам Ronin ($625 млн), Bybit ($1,5 млрд) и Drift Protocol ($280 млн).

Механика атаки выглядела следующим образом: злоумышленники получили доступ к списку RPC-серверов, используемых децентрализованной верифицированной сетью (DVN) LayerZero Labs. Два сервера были «отравлены» — через них передали поддельное кроссчейн-сообщение в DVN. Параллельно атакующие запустили DDoS-атаку на чистые серверы, вынудив сеть опираться на скомпрометированные узлы.

Kelp DAO использовал схему DVN без резервирования (1/1), поэтому ложный запрос не был перехвачен независимым верификатором. Разработчики LayerZero подчеркнули, что ранее предупреждали проект о необходимости диверсификации DVN, но рекомендации не были учтены.

LayerZero заявил, что заражение не затронуло другие активы или приложения. Компания продолжает взаимодействовать с правоохранительными органами и отслеживать украденные средства.