Найбільше пограбування DeFi 2026 року, хакери легко скористалися Aave

Автор: Сяо Бін, Shenchao TechFlow

Увечері 18 квітня о 17:35 (UTC) гаманець, який відмивав гроші через Tornado Cash, надіслав крос-чейн-повідомлення контракту LayerZero EndpointV2.

Значення повідомлення було простим: користувач певного ланцюжка хотів перевести rsETH назад до основної мережі Ethereum. LayerZero точно передав інструкцію відповідно до проекту протоколу. Контракт-місток, розгорнутий Kelp DAO в основній мережі, також виконав реліз належним чином, як і було задумано.

116 500 rsETH, що на той час вартістю становило приблизно 292 мільйони доларів, було переведено однією транзакцією на адресу, контрольовану зловмисником.

Проблема полягає в тому, що ніхто на іншому ланцюзі ніколи не вносив цей rsETH. Цей «запит на перехресне з’єднання» був вигаданий з нічого; LayerZero повірив йому, і міст Kelp повірив йому.

Через сорок шість хвилин екстрений мультипідпис Келпа нарешті натиснув кнопку паузи. На цей час зловмисник вже завершив другу половину дії, використавши вкрадений, по суті незабезпечений rsETH для забезпечення в Aave V3, позичивши wETH на суму приблизно 236 мільйонів доларів.

Це найбільша крадіжка DeFi у 2026 році на сьогодні, яка перевершує протокол Drift, на який 1 квітня зламали кілька мільйонів доларів північнокорейськими хакерами, але не лише сума справді викликає жах у галузі.

Як відбувся напад: Три ставки з 17:35 до 18:28

Давайте відновимо часову шкалу.

17:35 UTC, перший успіх. Зловмисник викликав функцію lzReceive у контракті LayerZero EndpointV2, і гаманець, що фінансується Tornado Cash, надіслав сфабрикований крос-чейн-пакет даних до бридж-контракту Kelp. Перевірку контракту пройшло, і на адресу зловмисника було виведено 116 500 rsETH. Одна транзакція. Чистий.

18:21 UTC, екстрена пауза Kelp з мультипідписом заморозила основні контракти rsETH в основній мережі та кількох L2-лініях. Через 46 хвилин після нападу.

О 18:26 та 18:28 UTC зловмисник здійснив ще дві спроби, кожного разу намагаючись вивести 40 000 rsETH (приблизно 10 мільйонів доларів) за допомогою пакета даних LayerZero. Обидва були скасовані; контракт вже був заморожений, але зловмисник явно все ще намагався викачати залишки ліквідності.

Від першого успіху до публічної заяви Келпа минуло майже три години.

Перший пост Kelp на X було надіслано лише о 20:10 UTC, а формулювання було дуже стриманим: було виявлено підозрілу крос-чейн активність, пов'язану з rsETH, контракти rsETH в основній мережі та кількох L2-мережах було призупинено, і вони співпрацювали з LayerZero, Unichain, аудиторами та зовнішніми експертами з безпеки для аналізу першопричин.

Однак, ще до офіційної заяви, ZachXBT, детектив мережі, підняв тривогу у своєму Telegram-каналі до 15:00 за східним часом, перерахувавши шість адрес гаманців, пов'язаних з крадіжкою, та вказавши, що гаманець атаки підготував кошти через Tornado Cash, перш ніж розпочати свої дії. Він не назвав Kelp DAO, але аналітики блокчейну зв'язали адреси лише за кілька годин.

Це була **завчасно спланована операція**