Взлом Aave и Kelp DAO: 3 сценария спасения от DefiLlama

Взлом Kelp DAO и последующий кризис Aave — это каскадный шок ликвидности в секторе децентрализованных финансов, который спровоцировал кражу активов на $293 млн. Понимание архитектуры этого инцидента позволяет инвесторам грамотно хеджировать риски и избегать потери депозитов при атаках на кроссчейн-мосты. 18 апреля 2026 года крипторынок столкнулся с последствиями компрометации моста Unichain-to-Ethereum. Хакерская атака Kelp DAO, за которой, по данным протокола LayerZero, стоит северокорейская группировка Lazarus, привела к похищению 116 500 токенов rsETH. Сама платформа Aave не была скомпрометирована на уровне смарт-контрактов. Однако взломщики использовали украденные LST-токены как залог для выкачивания ликвидности. В результате аналитика DefiLlama фиксирует массовую панику: инвесторы непрерывно проверяют новости Aave сегодня, пытаясь выяснить, работают ли выводы средств на фоне экстренной заморозки рынков.

Плохой долг и каскадное заражение: последствия для DeFi Индустрия столкнулась с эффектом каскадного заражения (Contagion Effect). Эксплойт одного моста вызвал дефицит ликвидности даже на физически не связанных с ним блокчейнах, включая Solana. Механика потерь базируется на скепсисе к кредитным «петлям» (Looping). Пользователи многократно перекладывали активы под максимальный Loan-to-Value (кредитное плечо до 95%). Когда хакеры обрушили стоимость обеспечения, обеспеченные позиции мгновенно ушли в статус принудительной ликвидации, обнажив гигантский aave плохой долг. Паника спровоцировала исторический отток капитала из сферы кредитования:

• Из пулов Aave в спешном порядке выведено $6,2 млрд (спад на 23%).
• Протокол Morpho потерял порядка $716 млн (-9%).
• Из Sky Protocol и JupLend было выведено $272 млн и $76 млн соответственно.

Сценарии спасения Aave и Kelp DAO Разработчик под псевдонимом 0xngmi (кто это — on-chain аналитик и соучредитель DefiLlama) выкатил три жестких плана реструктуризации. Проблема заключается в том, что любой aave bad debt придется закрывать реальным капиталом. Альтернативный маршрут предложил основатель OneKey Yishi: начать переговоры со взломщиком, предложив ему легальный баунти в 10-15%, либо переложить ответственность на фонд развития экосистемы LayerZero. Ниже представлена таблица с анализом путей выхода из кризиса:

1. Социализация убытков. Равномерное aave списание средств пользователей (стрижка депозитов держателей rsETH на 18,5%). Возникает дыра на $216 млн. Страховка Umbrella покроет $55 млн, казна — $85 млн. Оставшиеся $76 млн закроют продажей резервов или кредитами.
2. Отказ от сетей Layer 2. Компенсация Kelp DAO только в основной сети Ethereum (rug pull для пользователей Arbitrum, Mantle, Base). Формируется необеспеченный долг в $341 млн. Страховка здесь не работает, репутации L2-решений наносится сокрушительный удар.
3. Откат по снапшоту. Технический возврат сети к состоянию до эксплойта для выплат прямым жертвам. Даже при идеальном исполнении и активации страховки дефицит составит около $91 млн.

Шаг 1: Переход на изолированные рынки Взлом aave через сторонний токен вскрыл архитектурную слабость общих пулов (pooled protocols). Компрометация одного актива внутри системы автоматически блокирует капитал всех провайдеров пула. Целесообразнее переносить ликвидность на изолированные рынки кредитования (например, Morpho), где ущерб ограничивается конкретными торговыми парами, а базовый функционал остается бесплатным для розничных инвесторов. Шаг 2: Аудит архитектуры мостов перед стейкингом. Масштабная хакерская атака kelp dao aave стала возможной из-за опасной конфигурации валидации — 1-of-1 DVN. Для вывода сотен миллионов долларов потребовалась подпись всего одного валидатора. То есть, ну я хотел сказать, перед блокировкой токенов пользователям необходимо проверять наличие мульти-подписей (multi-DVN) в кроссчейн-переводах. Шаг 3: Жесткое лимитирование позиций. Несмотря на статус «безопасной гавани» и миллиардные TVL, aave hack наглядно демонстрирует: аудит базового смарт-контракта не спасает от токсичного внешнего залога. Специалисты по on-chain безопасности рекомендуют выделять на один DeFi-протокол жесткий лимит в 1–3% от общего объема инвестиционного портфеля. Шаг 4: Мониторинг скрытых резервов платформ. Анализируя вероятность того, состоится ли полный возврат средств aave, необходимо учитывать внутренние фонды проекта. В модуле безопасности (OG Security Module) заморожено около $300 млн в нативных токенах. Изъятие всего 20% из этого резерва способно перекрыть $60 млн безнадежных обязательств, существенно смягчив удар по розничным кредиторам. Частые вопросы. Кого напрямую затронул взлом kelp dao? Инцидент затронул провайдеров ликвидности в мосте Unichain-to-Ethereum, а также пользователей кредитных протоколов, чей капитал оказался заблокирован из-за остановки рынков rsETH. Возможна ли полная компенсация kelp dao без потерь для юзеров? Вероятность стопроцентного возврата стремится к нулю. Первый и наиболее вероятный план реструктуризации предполагает списание 18,5% средств у каждого держателя LST-актива. Что такое плохой долг и откуда взялась цифра в $216 млн? Это ситуация, когда стоимость украденного залога падает ниже суммы выданных под него займов в стейблкоинах. Платформа физически не может вернуть эти деньги вкладчикам, формируя дефицит. Где публикуются оперативные defillama новости об инциденте? Первоисточником выступают официальные on-chain дашборды аналитической платформы и прямые публикации ее соучредителя (0xngmi) с разбором движения украденных средств. Почему нельзя просто откатить сеть (сделать снапшот)? Это третий сценарий спасения. Он технически сложен в реализации, и даже при успешном применении всех резервов и страховок оставит необеспеченную дыру в размере $91 млн.