Что произошло: эксплойт Kelp DAO на $293 миллиона
В начале апреля 2024 г. децентрализованная автономная организация Kelp DAO стала жертвой сложной атаки, в результате которой было украдено криптоактивов на сумму около $293 млн. Хакеры использовали вектор flash‑loan в сочетании с уязвимостью на уровне контракта, что позволило им за считанные минуты опустошить ликвидные пулы платформы. О нарушении сообщили основные разработчики Kelp 12 апреля, опубликовав подробный судебный отчёт, описывающий действия атакующих. Инцидент мгновенно стал заголовком новостей во всём блокчейн‑сообществе.
Эффект домино: $15 млрд изъяты из Aave
Хотя прямой ущерб Kelp DAO был значительным, настоящая волна шока прошла через более широкую экосистему DeFi, в частности через протокол кредитования Aave. В течение нескольких часов после эксплойта Aave столкнулся с ошеломляющим оттоком ликвидности около $15 млрд, поскольку пользователи в панике выводили средства из опасений за contagion. Данные DeFi Llama показывают, что общий заблокированный капитал (TVL) Aave упал с $23,4 млрд до $8,4 млрд — сокращение на 36 % — за один торговый день.
Почему Aave был уязвим
Массовый отток выявил несколько структурных слабостей в дизайне Aave. Во‑первых, зависимость протокола от оракулов цены для оценки залога создавала узкую поверхность атаки; небольшая задержка оракула может вызвать каскад ликвидаций. Во‑вторых, стимулы майнинга ликвидности Aave, привлекая капитал, также поощряли быстрый вход и выход, усиливая панические выводы. Наконец, отсутствие надёжного механизма экстренного отключения означало, что платформа не могла быстро приостановить операции, чтобы остановить отток.
Широкие последствия для DeFi‑кредитных протоколов
Помимо Aave, инцидент поднимает фундаментальные вопросы о стойкости децентрализованных финансов. Согласно недавнему исследованию ConsenSys, более 70 % DeFi‑кредитных платформ всё ещё работают без формальных рамок управления рисками. Эксплойт Kelp DAO подчёркивает, как одна точка отказа может распространиться по взаимосвязанным протоколам, ставя под угрозу миллиарды пользовательского капитала. Он также подчёркивает необходимость улучшения каналов межпротокольной коммуникации, способных выдавать оперативные оповещения в чрезвычайных ситуациях.
Ответ индустрии и меры по смягчению
В дни, последовавшие за нарушением, несколько ключевых игроков выпустили заявления и внедрили немедленные контрмеры. Технический директор Aave, Стани Кулечов, объявил о развертывании нового уровня агрегирования оракулов, чтобы снизить зависимость от единственного источника данных. Тем временем сообщество Kelp DAO проголосовало за выделение части своей казны в программу bug‑b