#ArbitrumFreezesKelpDAOHackerETH

21 апреля 2026 года Совет безопасности Arbitrum осуществил чрезвычайное вмешательство, которое вызвало потрясение в экосистеме DeFi. Они заморозили примерно 30 766 ETH, оцененных примерно в $71 миллионов долларов, хранящихся на адресе в Arbitrum One, напрямую связанном с эксплойтом Kelp DAO, произошедшим всего за несколько дней до этого.

Этот шаг является одним из самых значительных случаев вмешательства в управление Layer 2 за последнее время. Средства были не просто заблокированы, а переведены на промежуточный кошелек, контролируемый управлением, что фактически сделало их недоступными для злоумышленника без дальнейшего одобрения механизмов управления Arbitrum. Решение было принято после получения информации от правоохранительных органов о личности злоумышленника, что свидетельствует о прогрессе в отслеживании преступников, стоящих за крупнейшим на сегодняшний день взломом DeFi в 2026 году.

Чтобы понять масштаб этого замораживания, нужно вспомнить 18 апреля, когда произошел эксплойт Kelp DAO. Злоумышленник смог вывести примерно 116 500 rsETH, представляющих собой повторно заложенные ETH-токены, на общую сумму около $292 миллионов долларов на момент атаки. Эта цифра составляла примерно 18% от общего обращения rsETH, что делало его не только крупнейшим взломом года, но и системной угрозой для экосистемы повторного залога.

Сам эксплойт был выполнен с высокой степенью сложности. Злоумышленник использовал уязвимость в инфраструктуре кросс-чейн моста Kelp DAO, основанной на LayerZero. Подделав допустимое межцепочечное сообщение, он обманул систему, заставив ее создать rsETH на Arbitrum без законных оснований. Этот метод выявил критические слабости в протоколах межцепочечной передачи сообщений, которые не всегда корректно проверяют транзакции в различных блокчейн-средах.

Развертывание токена rsETH на более чем 20 цепочках, включая Base, Linea и Blast, означало, что последствия эксплойта ощущались во всей мультицепочной DeFi-экосистеме. Команда безопасности Kelp DAO отреагировала, приостановив работу основных контрактов примерно через 46 минут после начала утечки, но ущерб уже был значительным. Крупные кредитные протоколы, такие как Aave и SparkLend, также быстро остановили рынки, связанные с rsETH в качестве залога, предотвращая дальнейшие каскадные ликвидации и системные риски.

Меры Arbitrum по заморозке вернули примерно 25% украденных средств, что является значительной частичной победой в индустрии, где показатели возврата средств после эксплойтов зачастую близки к нулю. Однако история на этом не закончилась. Злоумышленник, продемонстрировав как техническую изощренность, так и операционную дисциплину, быстро перевел оставшиеся $175 миллионов долларов в ETH на новые кошельки и начал операции по отмыванию. Около $220 миллионов было переведено через THORChain в Bitcoin, а дополнительные средства — через инструменты для сохранения приватности, такие как Umbra, и различные миксеры.

Принадлежность этого взлома стала предметом интенсивных спекуляций в сообществе безопасности. Аналитики LayerZero и другие предварительно связали эксплойт с группой Lazarus из Северной Кореи, государственным хакерским коллективом, ответственным за многочисленные крупные кражи криптовалют на сумму миллиардов долларов. Если это подтвердится, то это станет еще одним примером того, как государственные акторы нацеливаются на протоколы DeFi для получения финансовой выгоды, чтобы финансировать деятельность режима Северной Кореи, несмотря на международные санкции.

Заморозка Arbitrum вызвала ожесточенные дебаты о природе децентрализации в экосистемах Layer 2. Многие похвалили быстрые действия Совета безопасности по возврату украденных средств, другие же задавались вопросами о концентрации власти в так называемых децентрализованных сетях. Arbitrum использовал свои чрезвычайные полномочия мультисиг для выполнения этого замораживания, что показывает, что даже в системах, позиционируемых как доверительные, структуры управления сохраняют значительные централизованные возможности при необходимости.

Критики утверждают, что этот инцидент разоблачает маркетинговую фикцию полной децентрализации в текущих реализациях L2. Возможность Совета безопасности односторонне замораживать и перемещать средства противоречит идее цензуроустойчивости, лежащей в основе блокчейн-идеологии. В свою очередь сторонники считают, что без таких механизмов вся экосистема оставалась бы уязвимой для эксплойтов без возможности для пострадавших, что в конечном итоге подрывает массовое принятие и регуляторное одобрение.

Техническая реализация заморозки также заслуживает внимания. Перемещая средства на управляемый управлением промежуточный кошелек, а не просто блокируя адрес, Arbitrum создал правовую и процедурную основу для возможного возмещения ущерба. Такой подход пытается сбалансировать необходимость немедленного сохранения активов с долгосрочными вопросами о законных правах и соблюдении процедур.

Для широкой сообщества DeFi эксплойт Kelp DAO и последующее замораживание служат ярким напоминанием о рисках, связанных с инфраструктурой межцепочечной передачи. По мере развития отрасли и внедрения все более взаимосвязанных мультицепочных архитектур, поверхность атаки расширяется пропорционально. Каждый мост, каждый протокол сообщений, каждый межцепочечный контракт — потенциальная уязвимость, которую могут использовать продвинутые злоумышленники.

Kelp DAO в настоящее время координирует усилия по восстановлению и работает с различными заинтересованными сторонами для определения дальнейших шагов по замороженным средствам и более широкой системе повторного залога. Инцидент вызвал призывы к усилению аудитов протоколов межцепочечной передачи сообщений и более надежным механизмам проверки операций создания токенов на разных цепочках.

Эксплойт также подчеркивает постоянную игру кошки и мышки между протоколами DeFi и злоумышленниками. По мере совершенствования мер безопасности злоумышленники разрабатывают все более изощренные методы обхода. Использование межцепочечных мостов как векторов атак — это развитие стратегий эксплойтов, выходящее за рамки простых уязвимостей смарт-контрактов и нацеленное на сложную инфраструктуру взаимодействия, лежащую в основе современного DeFi.

В будущем этот инцидент, вероятно, повлияет как на техническую разработку, так и на регуляторные подходы к сетям Layer 2 и межцепочечным протоколам. Демонстрация возможности замораживать средства может привлечь повышенное внимание регуляторов, которые могут рассматривать такие механизмы как пути к соблюдению нормативных требований и возврату активов. В то же время разработчики столкнутся с давлением внедрять более децентрализованные структуры управления, способные реагировать на чрезвычайные ситуации без использования централизованных полномочий мультисиг.

$80 миллионов замороженных средств — это свидетельство как уязвимостей, так и устойчивости текущей экосистемы DeFi. Оно показывает, что даже после разрушительных эксплойтов скоординированные действия могут вернуть значительную ценность. Однако это также предупреждение о том, что путь к по-настоящему децентрализованной, безопасной и совместимой инфраструктуре блокчейна еще не завершен, и каждое крупное событие выявляет новые вызовы, которые индустрия должна решать.