ZachXBT повідомляє про експлойт на суму понад $280 млн у KelpDAO, який влучив у ринки DeFi-кредитування в Ethereum

Повідомляють, що зловмисник використав уразливість у ліквідному рестейкінг-токені rsETH KelpDAO 18 квітня 2026 року, вивівши, за оцінками, 280 мільйонів доларів або більше на Ethereum та Arbitrum.

Ключові висновки:

• ZachXBT виявив крадіжку на суму 280 мільйонів доларів+ у DeFi-протоколах на Ethereum та Arbitrum 18 квітня 2026 року.
• Експлойт KelpDAO спричинив проблемну заборгованість на Aave V3, через що токен AAVE знизився приблизно на 10–13%.
• KelpDAO не підтвердив експлойт; аналітики стежать за шістьма ідентифікованими гаманцями атакувальника в пошуках підказок для відновлення коштів.

Ethereum DeFi-експлойт: атака на rsETH KelpDAO вивела понад 280 мільйонів доларів

Ончейн-інвестигатор ZachXBT опублікував перше попередження в публічному Telegram-каналі незадовго до 15:00 ET, навівши шість адрес гаманців, пов’язаних із крадіжкою, і зазначивши, що гаманці атакувальника були поповнені через Tornado Cash ще до початку вилучення. У своєму дописі він послався на збитки понад 280 мільйонів доларів у кількох DeFi-протоколах, не називаючи KelpDAO напряму, але ончейн-аналітики пов’язали ці адреси протягом годин.

«KelpDAO, схоже, викрали 280 млн доларів+ годину тому на Ethereum та Arbitrum», — написав ZachXBT. «Адреси атаки були профінансовані через Tornado Cash».

Повідомляється, що атакувальники використали ваду в rsETH-інфраструктурі KelpDAO, яка запустила несанкціоноване розблокування великого обсягу ліквідного рестейкінг-токена без внесення нового забезпечення. Отриманий rsETH потім депонували в кредитні ринки Aave V3 на Ethereum і Arbitrum, де атакувальник позичив значні обсяги ETH та інших активів під це забезпечення.

Коли валідність забезпечення було поставлено під сумнів, ці позиції залишили Aave з проблемною заборгованістю. Оцінки спільноти щодо сукупних втрат коливалися від 100 мільйонів до приблизно 293 мільйонів доларів — у перерахунку приблизно на 116 500 rsETH за поточними цінами.

На новинах AAVE різко впав. Дані ринку показують зниження на 10–13% протягом годин після першого попередження, поки ринок зважував потенційний ризик проблемної заборгованості в кредитних пулах протоколу. Згідно з ончейн-даними, AAVE multisig guardian заморозив rsETH на кредитних ринках.

Ліквідні рестейкінг-токени на кшталт rsETH глибоко вбудовані в композабельність DeFi. Їх приймають як забезпечення одночасно в кількох кредитних ринках, тож експлойт може швидко поширювати втрати між платформами. Інцидент KelpDAO демонструє це напряму.

Гаманці атакувальника, наведені ZachXBT, показали великі позиції ETH, утримувані на Aave та Compound. Одна адреса, як повідомляється, на момент виявлення тримала приблизно 120 мільйонів доларів у ETH на Aave. Кошти швидко перемістили після вилучення.

Використання Tornado Cash для попереднього фінансування операційних гаманців перед атакою — типова тактика для атакувальників, які намагаються приховати джерела. Це не вказує на нову техніку, але підтверджує, що операція була навмисною та запланованою.

Станом приблизно на 15:00 ET 18 квітня KelpDAO не опублікував офіційної заяви чи post-mortem. Спільнота стежила за акаунтом X проєкту та сайтом у пошуках відповіді, а також за каналами управління Aave щодо будь-яких екстрених дій.

Компанії з безпеки DeFi, зокрема Peckshield, Slowmist та інші, на момент підготовки цього матеріалу ще не опублікували детальні розбори, що відображає, як швидко розвинулася ситуація. ZachXBT не публікував подальше повідомлення із прямим називанням KelpDAO в публічних каналах, але перетин адрес провів чітку межу.

Цей інцидент окремий від експлойту Drift Protocol, про який вперше повідомляв Bitcoin.com News 1 квітня 2026 року: тоді було виведено приблизно 280 мільйонів доларів, переважно на Solana, перш ніж USDC перекинули на Ethereum через CCTP. Механіка, ланцюги та таймлайни різні.

Всім, хто тримав rsETH або пов’язані позиції на Aave, Compound чи інших кредитних ринках, спільнота радили переглянути рівень експозиції, доки ситуація лишалася невирішеною.

Шість гаманців атакувальника, ідентифікованих ZachXBT, залишаються активними цілями для ончейн-трасування, поки аналітики намагаються відстежити, куди пішли кошти після виходу з Aave.

Примітка редактора: Цю статтю оновили о 16:00 ET, щоб зазначити, що Aave multisig guardian заморозив rsETH на конкретних кредитних ринках.