Крупнейшая на данный момент кража в децентрализованных финансах в 2026 году вскрыла одну из самых уязвимых точек рынка - кроссчейн-инфраструктуру. В субботу неизвестный хакерская группа взломала мост, построенный на базе технологии LayerZero, и вывела почти 293 млн долларов в криптоактивах, спровоцировав лавину проблем на ряде DeFi-платформ.
Ключевой целью атаки стали около 116 500 токенов rsETH - это "переразмещенный" эфир, выпускаемый протоколом Kelp DAO. Эти токены обеспечены популярными стейкинговыми активами вроде stETH и cbETH и обычно используются пользователями как более гибкая версия заблокированного эфира: их можно применять в других протоколах DeFi, не отказываясь от стейкинг-доходности. Именно широкая интеграция rsETH во множество сервисов сделала последствия взлома особенно болезненными для рынка.
Атака была осуществлена через кроссчейн-мост, который позволял перемещать rsETH между разными сетями. Мост был построен с использованием решений LayerZero - инфраструктуры, которая отвечает за обмен данными и активами между блокчейнами. Компрометация этого звена открыла злоумышленнику доступ к значительному объему средств, а затем и к целому ряду протоколов, завязанных на rsETH.
Kelp DAO оперативно зафиксировал подозрительную активность, связанную с межсетевыми операциями по rsETH, и объявил о немедленной приостановке работы смарт-контрактов токена в основной сети и нескольких сетях второго уровня. Команда включила экстренные процедуры реагирования, начав сотрудничество с разработчиками инфраструктуры, аудиторами и специалистами по безопасности для детального анализа инцидента и попыток смягчить последствия.
Сам Kelp DAO представляет собой протокол рестейкинга. Пользователи передают в него уже стейкнутые токены, такие как stETH или cbETH, и получают взамен rsETH. Этот актив затем можно задействовать в кредитных платформах, пулы ликвидности, децентрализованные биржи или другие DeFi-приложения, при этом продолжая получать базовую стейкинг-награду. Благодаря такому механизму rsETH быстро стал одним из ключевых активов в экосистеме децентрализованных финансов, особенно в сегменте кредитования и управления ликвидностью.
Однако именно высокая степень интеграции rsETH в различные протоколы усилила эффект взлома. Специалисты по кибербезопасности отмечают, что речь шла не о локальном дефекте одного приложения, а о "системной инфекции": уязвимость в одном из инфраструктурных слоев стала триггером для цепной реакции в связанных протоколах. По оценкам компании Cyvers, от атаки в той или иной степени пострадали не менее девяти дополнительных платформ, так или иначе завязанных на rsETH.
Чтобы понять масштаб, важно учитывать, как устроен современный DeFi. Один и тот же актив может одновременно быть залогом на кредитной платформе, частью пула ликвидности на децентрализованной бирже и элементом стратегии доходного фарминга. Если основание этой конструкции - базовый токен или мост, который обеспечивает его обращение, - оказывается скомпрометированным, риски моментально передаются по всей цепочке, затрагивая десятки смарт-контрактов и тысячи пользователей.
Руководители Cyvers подчеркивают: главная угроза здесь не только в самом факте эксплойта смарт-контракта. Опасность в том, насколько быстро последствия могут "расползтись" по экосистеме, построенной на глубоко интегрированных протоколах. Чтобы эффективно защищать рынок, недостаточно аудировать отдельные контракты - требуется системный взгляд на архитектуру связей между протоколами, на сценарии массового заражения и механизмы локализации таких событий.
Одной из первых крупный шаг предприняла платформа Aave - крупнейший протокол децентрализованного кредитования с более чем 20 млрд долларов заблокированных активов. Команда приняла решение заморозить все рынки, связанные с rsETH. Это означает, что пользователи временно не могут открывать новые позиции с использованием этого актива: запрещены новые депозиты и выдача займов под его залог, пока не будут полностью оценены риски и определен статус обеспечения.
Финансовые рынки отреагировали быстро и жестко. В азиатскую торговую сессию в воскресенье курс rsETH обвалился примерно на 20%. Для токена, позиционируемого как относительно "стабильный" внутри DeFi-инфраструктуры и обеспеченного высоколиквидным эфиром, это существенный удар по доверию. Обвал цены может дополнительно усиливать давление на протоколы, где rsETH используется как залог: снижение стоимости обеспечения повышает риск недостачи при ликвидациях.
По словам технического директора Cyvers Меира Долева, разработчикам и охотникам за уязвимостями удалось предотвратить еще более катастрофический сценарий. По его оценке, протокол находился буквально в нескольких минутах от потери дополнительных 100 млн долларов. Быстрое внесение адресов злоумышленника в черные списки и оперативное реагирование позволили сорвать следующую фазу атаки и ограничить масштаб ущерба, хотя уже нанесенный урон и так стал рекордным.
Текущая кража по объему похищенных средств превзошла недавний взлом проекта Drift на блокчейне Solana и заняла первое место среди инцидентов в сфере децентрализованных финансов за 2026 год. Это не только статистический рекорд, но и важный психологический рубеж для рынка, который в последние годы активно продвигал идею более зрелой и безопасной инфраструктуры.
---
Почему именно кроссчейн-мосты остаются главной болевой точкой DeFi
Атака вновь подтвердила: кроссчейн-мосты - один из самых уязвимых компонентов децентрализованной экосистемы. Они работают как "перевалочные станции" для активов между сетями, на которых замыкаются огромные суммы. Любая ошибка в логике смарт-контракта моста, системе оракулов, подписи сообщений или проверке данных способна открыть дверь к масштабной краже.
В отличие от классических протоколов, которые управляют лишь собственными активами, мосты зачастую обслуживают токены нескольких экосистем сразу. Это делает их идеальной целью: достаточно одного удачного эксплойта, чтобы получить доступ к капиталу, распределенному по множеству сетей. Для хакеров это высокий риск, но и высокая потенциальная прибыль.
Дополнительную сложность создает и то, что многие мостовые решения развиваются быстрее, чем стандарты их формальной проверки и аудита. Инновации в области межсетевого взаимодействия опережают появление отработанных методологий безопасной разработки. В результате, даже прошедшие аудит протоколы могут содержать сложные логические уязвимости, которые выявляются только под давлением реальных атак.
---
Эффект домино: как ломается "слоёный пирог" DeFi
DeFi часто описывают как "денежный конструктор", где из базовых блоков - токенов, стейкинга, кредитов, деривативов - собираются все более сложные финансовые схемы. Этот модульный подход приносит гибкость и инновации, но одновременно делает систему хрупкой: сбой в одном важном модуле порождает эффект домино.
Кейс с rsETH - наглядная иллюстрация. Токен использовался как:
- залог на кредитных платформах;
- компонент пулов ликвидности;
- часть сложных стратегий доходного фарминга;
- элемент кроссчейн-операций рестейкинга.
Когда оказалось, что один из ключевых мостов rsETH скомпрометирован, сразу встал вопрос: можно ли по-прежнему считать этот актив надежным обеспечением? Как оценивать риски для позиций на кредитных платформах? Должны ли децентрализованные биржи переоценивать свои пулы ликвидности? Отчасти именно из-за этих вопросов были заморожены рынки и активирована серия защитных мер.
---
Последствия для пользователей: от заморозки до скрытых рисков
Для рядовых участников рынка такая атака оборачивается не только прямыми потерями средств, но и целым набором косвенных проблем:
- Заморозка рынков лишает пользователей возможности управлять своими позициями: нельзя оперативно докинуть залог, закрыть заем или вывести ликвидность.
- Резкое падение цены залогового актива грозит волной ликвидаций, если протоколы не скорректируют параметры.
- Неопределенность вокруг статуса украденных и заблокированных токенов усложняет оценку портфелей и стратегий.
Даже если конкретный пользователь не пострадал напрямую от кражи, он может столкнуться с ухудшением условий на платформах: снижением лимитов, повышением требований к залогу, ростом комиссии за риск. В долгосрочной перспективе подобные инциденты снижают готовность инвесторов использовать сложные "переслоенные" продукты и усиливают спрос на более простые и прозрачные решения.
---
Что должна сделать индустрия, чтобы такие инциденты не повторялись
Атака на мост rsETH поднимает сразу несколько фундаментальных вопросов для отрасли:
1. Безопасность кроссчейн-протоколов. Необходим переход к более строгим стандартам формальной верификации, многослойным моделям проверки сообщений между сетями и снижению доверия к единичным точкам отказа.
2. Ограничение каскадных рисков. Протоколам, работающим с "сложными" активами вроде rsETH, нужны механизмы быстрого отключения таких активов, динамического пересчета залогов и схемы страховки на случай инфраструктурных сбоев.
3. Прозрачность интеграций. Пользователям критично важно понимать, какие именно зависимости стоят за тем или иным токеном: на каких мостах он работает, какие протоколы отвечают за его выпуск и хранение, какие риски связаны с каждым слоем.
4. Сценарное моделирование инцидентов. Как и в традиционных финансах, DeFi-проекты должны тестировать стресс-сценарии: что произойдет при взломе моста, обнулении цены залога, остановке оракулов. И заранее закладывать процедуры автоматического реагирования.
---
Урок для инвесторов: сложные продукты - не всегда "умнее"
Все более популярные рестейкинг- и ре-деривативные решения, подобные rsETH, дают повышенную доходность и гибкость, но за счет наращивания технологической и контрагентской сложности. По сути, пользователь берет на себя не только риск базового актива (ETH), но и риски:
- протокола стейкинга;
- протокола рестейкинга;
- кроссчейн-мостов;
- кредитных и торговых платформ, где используется этот актив.
Суммарный риск становится трудно оценить даже профессионалам, не говоря уже о розничных инвесторах. Инцидент с кражей почти 293 млн долларов - напоминание о том, что дополнительная доходность почти всегда означает дополнительные уровни риска, которых может быть больше, чем кажется на первый взгляд.
---
Возможная эволюция регулирования и стандартов
Масштаб происшествия неизбежно привлечет внимание регуляторов и институциональных игроков, которые уже смотрят на DeFi как на перспективный, но опасный сегмент рынка. Возможные направления изменений:
- ужесточение требований к инфраструктурным протоколам, работающим с активами на сотни миллионов;
- появление отраслевых стандартов для аудита и стресс-тестирования мостов;
- развитие страховых и перестраховочных решений, покрывающих именно инфраструктурные взломы;
- усиление роли "надзорных" DAO или комитетов рисков, принимающих решения об интеграции новых сложных активов в крупные протоколы.
---
Что дальше для rsETH, Kelp DAO и экосистемы
Ближайшие недели станут решающими для Kelp DAO и всего окружения rsETH. Ключевые задачи:
- установить точный вектор атаки и устранить уязвимость;
- договориться с крупными протоколами (кредитными и биржевыми) о координированных действиях;
- выработать план компенсаций или реструктуризации ущерба, насколько это возможно;
- вернуть доверие к токену и самому механизму рестейкинга.
Многое будет зависеть от того, удастся ли частично заморозить или вернуть украденные активы, а также от того, как быстро будут реализованы структурные меры по повышению безопасности. Если индустрия сумеет превратить этот кризис в толчок к реформам, инцидент может стать болезненным, но важным этапом взросления DeFi. В противном случае рынок рискует столкнуться с новой волной недоверия и сокращением ликвидности - особенно со стороны крупного капитала.
Одно уже ясно: кража почти на 290 миллионов долларов из кроссчейн-моста стала не единичным эпизодом, а симптомом глубинной проблемы - чрезмерной взаимосвязанности и недостаточной защищенности ключевой инфраструктуры децентрализованных финансов. И игнорировать этот сигнал рынку больше не получится.
