Один из самых громких инцидентов в DeFi-секторе 2026 года продолжает развиваться уже на этапе «второй волны» — отмывания украденных средств. Злоумышленник, который ранее похитил около $292 млн из протокола рестейкинга KelpDAO, начал активно выводить и легализовать часть активов через кроссчейн-инструменты и миксинг ликвидности.
По данным аналитика EmberCN, хакеры уже «отмыли 34 500 ETH (около $80 млн)» после того, как предварительно переместили примерно $175 млн внутри сети Ethereum. Это указывает на системный и поэтапный характер операций, а не на разовую попытку вывода средств.
Ключевым инструментом в цепочке стал кроссчейн-протокол THORChain, через который значительная часть украденных ETH была конвертирована в биткоин. Именно эта операция резко изменила статистику платформы и фактически превратила хакерскую активность в краткосрочный драйвер ликвидности.
Последствия для THORChain оказались мгновенными:
- суточный объем торгов вырос до $360–394 млн против привычных $20–35 млн;
- комиссионные доходы подскочили до $420 000–456 000 в сутки против около $5 000 ранее.
Фактически протокол за считанные часы прошёл путь, на который в обычных условиях уходят месяцы органического роста. Однако этот рост носит токсичный характер: он связан не с увеличением спроса, а с вынужденным перемещением крупных украденных активов.
Отдельное внимание аналитиков привлекла реакция сети Arbitrum. После вмешательства и частичной блокировки средств (около 30 766 ETH на сумму более $70 млн) злоумышленник начал ускоренное перемещение активов в другие сети. По оценке специалистов, именно заморозка части средств могла спровоцировать перераспределение капитала и усложнить дальнейшее отслеживание потоков.
Согласно данным Global Ledger, спустя несколько часов после блокировки в Arbitrum злоумышленник начал активное перемещение средств в сеть Ethereum, что указывает на попытку уйти от централизованных точек контроля и «растворить» следы транзакций в более сложной мультисетевой структуре.
Атака на KelpDAO произошла 18 апреля 2026 года и, по предварительным данным, была связана с уязвимостью моста LayerZero. Эта атака вызвала цепную реакцию по всему сектору DeFi, затронув не только сам протокол, но и смежные кредитные и залоговые рынки.
По оценкам аналитической компании LlamaRisk, украденные активы в размере 89 567 rsETH (свыше $221 млн) использовались в качестве залога в различных протоколах. Это привело к резкому пересмотру рисков по всей системе и падению общей заблокированной стоимости (TVL) в Aave примерно на $8,5 млрд — до уровня около $18 млрд. Фактически рынок столкнулся не только с прямыми потерями, но и с эффектом домино через механизмы ликвидаций и переоценки залогов.
По данным разработчиков LayerZero, за атакой, вероятно, стоит северокорейская хакерская группировка Lazarus Group, которая ранее уже фигурировала в расследованиях крупных криптовзломов, включая инцидент с Bybit на $1,5 млрд. Это усиливает подозрения в системном характере атак на инфраструктуру DeFi.
Дополнительный масштаб проблемы подчеркивает статистика Memento Research: по состоянию на середину апреля 2026 года общие потери DeFi-сектора достигли $795 млн. Исследователи прямо характеризуют ситуацию как «постоянный кризис безопасности», где атаки становятся не исключением, а повторяющимся элементом рыночной инфраструктуры.
В итоге инцидент с KelpDAO выходит далеко за рамки одного протокола. Он демонстрирует сразу несколько системных проблем DeFi: уязвимость кроссчейн-мостов, зависимость ликвидности от единичных точек отказа и растущую сложность отслеживания украденных средств в мультисетевой среде.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Все материалы, представленные на этом сайте (https://wildinwest.com/), включая вложения, ссылки или материалы, на которые ссылается компания, предназначены исключительно для информационных и развлекательных целей и не должны рассматриваться как финансовая консультация. Материалы третьих лиц остаются собственностью их соответствующих владельцев.