Взлом протокола KelpDAO, в результате которого было похищено $293 млн, стал не просто очередным громким инцидентом. Для основателей проектов и исследователей безопасности он подтвердил сдвиг, который давно назревал в DeFi: отрасль больше не борется с ошибками в коде — она борется со сложностью.
Как атака на KelpDAO обошлась в $293 млн
Атака на KelpDAO — протокол, работающий в сфере децентрализованных финансов (DeFi), — привела к потере почти $293 млн. Это один из крупнейших взломов за последние месяцы. Инцидент затронул как пулы ликвидности, так и средства пользователей, заблокированные в смарт-контрактах.
Ранее мы сообщали, что Kelp DAO сожгла токены rsETH хакера и готовится возобновить вывод средств.
По имеющимся данным, злоумышленники воспользовались уязвимостью, связанной не с отдельным багом в коде, а с взаимодействием нескольких компонентов системы. Подобные атаки становятся всё более распространёнными по мере усложнения архитектуры DeFi-протоколов.
Почему сложность стала главной угрозой DeFi
Раньше главной проблемой DeFi были ошибки в отдельных смарт-контрактах — например, неправильно прописанные функции или уязвимости для флэш-кредитов (мгновенных займов без обеспечения). Теперь риски сместились на уровень архитектуры: когда десятки протоколов, мостов и оракулов (сервисов, поставляющих внешние данные в блокчейн) связаны друг с другом, атака может произойти на стыке этих связей. Именно это и случилось с KelpDAO.
Как отметили участники рынка, взлом показал, что DeFi переходит в новую фазу — фазу зрелости, где безопасность требует системного подхода, а не просто аудита отдельных контрактов. Протоколы вынуждены учитывать всю экосистему, в которую они интегрированы.
Напомним, что недавно Kraken заменил LayerZero на Chainlink после взлома моста на $292 млн.
Сложность DeFi-инфраструктуры растёт быстрее, чем способность команд безопасности её контролировать.
Почему $1 млрд убытков в 2024 году — не случайность
За последние два года объём активов, заблокированных в DeFi (TVL — суммарная стоимость активов в протоколах), сократился с пиковых $180 млрд до примерно $40 млрд. Однако количество уникальных протоколов и их взаимосвязей только увеличилось. Это создаёт «поверхность атаки» — зоны, где пересекаются разные системы и где ошибки наиболее вероятны.
Инцидент с KelpDAO — не единичный случай. В 2024 году убытки от взломов в DeFi уже превысили $1 млрд, причём большинство атак были связаны именно с межпротокольными взаимодействиями, а не с простыми багами. Тенденция заставляет проекты пересматривать подходы к аудиту безопасности и внедрять многоуровневые системы защиты.
Это происходит на фоне того, что, по данным CertiK, КНДР «индустриализировала» кражу криптовалют и отмыла миллиарды.
Для пользователей это означает, что даже «проверенные» протоколы могут быть уязвимы, если их экосистема слишком разрослась. Диверсификация активов между разными протоколами и регулярный мониторинг состояния смарт-контрактов становятся не рекомендацией, а необходимостью.
Связь с Россией и СНГ в данном случае косвенная: взлом не затронул конкретных юрисдикций, но потери понесли инвесторы по всему миру. Для русскоязычного сообщества это ещё один сигнал о том, что DeFi остаётся средой повышенного риска, где техническая сложность требует соответствующей квалификации от участников.
Что дальше? Ожидается, что после взлома KelpDAO регуляторы и крупные инвесторы усилят давление на DeFi-протоколы с требованием прозрачности и обязательных стресс-тестов на уровне архитектуры. Самим проектам придётся выбирать: либо упрощать свои системы, либо вкладывать значительно больше ресурсов в безопасность на стыке интеграций.