Хакер вывел криптоактивы на $292 млн из Kelp DAO

18 апреля неизвестный злоумышленник вывел 116 500 rsETH из кроссчейн-моста Kelp DAO, построенного на базе LayerZero. Ущерб превысил $290 млн.

Атака реализована через вызов функции lzReceive в контракте EndpointV2. За 10 часов до инцидента кошелек хакера получил Ethereum (ETH) для оплаты комиссий — средства прошли через миксер Tornado Cash.

Kelp DAO активировала экстренную паузу спустя 46 минут после взлома: были остановлены пулы, система вывода, оракулы и смарт-контракт rsETH. Это позволило предотвратить кражу еще 40 000 rsETH (~$100 млн) в ходе последующих попыток.

Похищенный объем составил около 18% от общего рыночного предложения rsETH.

По теме: Drift Protocol раскрыл детали кражи на $285 млн

Реакция Kelp DAO

Команда Kelp DAO приостановила работу смарт-контрактов rsETH из-за «подозрительной активности».

Источник: Kelp DAO.

Проект проводит анализ причин инцидента совместно с LayerZero, Unichain, аудиторами и экспертами по кибербезопасности. Разработчики пообещали информировать сообщество о ситуации и призвали доверять только официальным источникам Kelp DAO.

По теме: хакеры похитили с криптокошельков биржи Grinex 1 млрд рублей

Плохие долги

На фоне рисков возникновения «плохих долгов» цена токена Aave (AAVE) упала почти на 20%.

Динамика цены Aave. Источник: CoinGecko.

Ведущая платформа криптокредитования заморозила рынки rsETH в версиях V3 и V4, подчеркнув, что ее собственные контракты не пострадали. Команда Aave пообещала рассмотреть варианты покрытия возможного дефицита.

Как сообщил журналист Колин Ву, инцидент вызвал панику среди крупных инвесторов: один лишь основатель TRON Джастин Сан вывел с платформы 65 584 ETH (~$154 млн).

На фоне массового оттока капитала коэффициент использования ETH в пулах Aave достиг 100%.

Источник: Wu Blockchain, Aave.

Это второй инцидент с rsETH за последние 12 месяцев. В апреле 2025 года Kelp приостанавливала операции из-за бага в контракте комиссий, однако тогда средства пользователей не пострадали.