Крупнейшее ограбление в сфере DeFi в 2026 году: хакеры без труда воспользовались уязвимостью Aave

Автор: Сяо Бин, Shenchao TechFlow

Вечером 18 апреля в 17:35 (UTC) кошелек, который отмывал деньги через Tornado Cash, отправил межсетевое сообщение контракту LayerZero EndpointV2.

Смысл сообщения был прост: пользователь в определенной цепочке хотел перевести rsETH обратно в основную сеть Ethereum. LayerZero точно выполнил команду в соответствии с требованиями протокола. Контракт-мост, развернутый Kelp DAO в основной сети, также точно выполнил выпуск средств в соответствии с задуманным.

116 500 rsETH, стоимость которых на тот момент составляла примерно 292 миллиона долларов, были переведены одной транзакцией на адрес, контролируемый злоумышленником.

Проблема в том, что никто на другой цепочке никогда не вносил этот rsETH. Этот «межсетевой запрос» был придуман из головы; LayerZero поверила в него, и мост Kelp тоже поверил.

Через сорок шесть минут экстренная многоподписная транзакция Келпа наконец-то была приостановлена. К этому моменту злоумышленник уже завершил вторую часть операции, использовав похищенные rsETH, по сути не обеспеченные залогом, в качестве залога в Aave V3 и взяв в кредит wETH на сумму около 236 миллионов долларов.

Это крупнейшее на данный момент ограбление в сфере DeFi в 2026 году, превышающее по сумме ущерба на несколько миллионов долларов атаку на протокол Drift, совершенную 1 апреля северокорейскими хакерами, но то, что действительно вызывает дрожь у представителей отрасли, — это не только сумма.

Как произошло нападение: Три ставки с 17:35 до 18:28

Давайте восстановим хронологию событий.

17:35 UTC — первый успех. Злоумышленник вызвал функцию lzReceive в контракте LayerZero EndpointV2, после чего кошелек, пополненный через Tornado Cash, отправил поддельный межсетевой пакет данных в мостовой контракт Kelp. Проверка контракта прошла успешно, и на адрес злоумышленника было переведено 116 500 rsETH. Одна транзакция. Чисто.

В 18:21 UTC экстренная пауза с использованием мультиподписи в системе Kelp привела к заморозке основных контрактов rsETH в основной сети и нескольких L2. Через 46 минут после нападения.

В 18:26 и 18:28 по Гринвичу злоумышленник предпринял ещё две попытки, каждый раз пытаясь вывести 40 000 rsETH (примерно 10 миллионов долларов) с помощью пакета данных LayerZero. Обе операции были отменены; контракт уже был заморожен, но злоумышленник явно по-прежнему пытался вывести оставшуюся ликвидность.

От первого успеха до публичного заявления Келпа прошло почти три часа.

Первое сообщение Kelp в X появилось только в 20:10 по UTC, и его формулировка была весьма сдержанной: было обнаружено подозрительное межсетевое взаимодействие с участием rsETH, контракты rsETH в основной сети и на нескольких L2 были приостановлены, а также велось сотрудничество с LayerZero, Unichain, аудиторами и внешними экспертами по безопасности для выявления первопричины.

Однако ещё до официального заявления ЗакXBT, специалист по анализу блокчейна, ещё до 15:00 по восточному времени поднял тревогу в своём канале Telegram, перечислив шесть адресов кошельков, связанных с кражей, и указав, что кошелек злоумышленников заранее подготовил средства через Tornado Cash перед началом своих действий. Он не назвал Kelp DAO, но аналитики, занимающиеся анализом блокчейна, установили связь между этими адресами всего за несколько часов.

Это была **заранее спланированная операция, проведенная