Центр вознаграждений 
Общий объем заблокированных средств (TVL) в DeFi снизился с примерно $99 млрд до $85 млрд за период с 18 по 20 апреля — это самое резкое двухдневное падение за более чем год. Причиной стал эксплойт на $292 млн в Kelp DAO — это протокол ликвидного рестейкинга, токен rsETH которого использовался в качестве залога минимум в девяти независимых лендинговых платформах. После взлома мостового контракта Kelp, rsETH утратил привязку, что привело к исчезновению обеспечения по миллиардам долларов DeFi-кредитов за считанные часы. Только с протокола Aave было выведено $6,6 млрд, поскольку пользователи спешили вывести средства до дальнейшего распространения эффекта.
Ключевая цифра для всех пользователей DeFi — не $292 млн, а 15 месяцев: именно столько времени назад инженеры LayerZero сообщили о критической уязвимости архитектуры моста с единственным валидатором в Kelp DAO. Kelp получила предупреждение, но не предприняла действий.
Как произошёл взлом Kelp
Атакующий нацелился на кроссчейн-мост Kelp DAO, использующий одного валидатора для подтверждения транзакций между Ethereum и слоем рестейкинга протокола. Команда безопасности LayerZero предупреждала ещё в январе 2025 года, что такой подход создает единую точку отказа: при компрометации ключа валидатора злоумышленник получает полный контроль над мостом.
18 апреля злоумышленник воспользовался данной уязвимостью: по предварительной информации, ключ валидатора был получен с помощью социальной инженерии в отношении одного из членов команды Kelp. После этого были выпущены необеспеченные rsETH на Ethereum, которые тут же использовали как залог в лендинговых протоколах для займа ETH и стейблкоинов. Выведенные средства были переправлены через разные сети, прежде чем система мониторинга Kelp среагировала.
Общий объём вывода составил $292 млн, но ущерб оказался значительно шире — rsETH являлся инфраструктурной основой для залога в DeFi-кредитовании, а не отдельным изолированным активом.
Почему $292 млн привели к убыткам в $14 млрд
Основной ущерб был не в размере украденных средств, а в роли, которую rsETH играл в экосистеме DeFi.
Ликвидные токены рестейкинга, такие как rsETH, проектируются под компонуемость: пользователь стейкает ETH, получает rsETH и далее использует его как залог для заимствования других активов. Это повышает капитализацию и доходность, но системные риски возрастают с каждым дополнительным уровнем плеча.
Когда rsETH потерял привязку, девять протоколов одновременно заморозили рынки с этим токеном. Заёмщики, использовавшие rsETH как обеспечение, столкнулись с мгновенной ликвидацией или невозможностью выйти из позиций из-за заморозки рынков. Опасения были обоснованы: если возможно выпустить необеспеченный rsETH, любой залог под него становится недействительным.
Больше всего пострадал протокол Aave: пользователи вывели $6,6 млрд за 36 часов не из-за прямого взлома, а из-за недоверия к качеству обеспечения — залог в rsETH больше не воспринимался как надёжный. Сработал классический механизм банк-рана: если нельзя объективно проверить качество залога, пользователи стремятся первыми вывести средства.
| Протокол | Принятые меры | Оценка вывода |
|---|---|---|
| Aave | Заморозка рынков rsETH, приостановка депозитов | $6,6 млрд |
| Compound | Экстренное голосование за делистинг rsETH | $1,2 млрд |
| Morpho | Автоматическая корректировка рисковых параметров | $890 млн |
| Euler | Заморозка хранилищ rsETH | $740 млн |
| Spark (MakerDAO) | Исключение rsETH из обеспечения | $620 млн |
Оставшиеся протоколы отреагировали в течение нескольких часов, и к 20 апреля TVL в DeFi снизился до примерно $85 млрд — это почти на 50% ниже пика октября 2025 года и минимальное значение с апреля 2025.
15-месячное предупреждение, проигнорированное Kelp
Этот случай превратился из технического взлома в провал управления.
В январе 2025 года команда безопасности LayerZero опубликовала внутренний отчёт по мостам ликвидного рестейкинга, включая мост Kelp. В расследовании CryptoTimes говорится, что LayerZero особо отметила: архитектура с одним валидатором "критически недостаточна для активов свыше $50 млн", а к тому моменту на мосту уже было около $180 млн.
LayerZero рекомендовала использовать мультиподписной набор из минимум пяти независимых валидаторов (3 из 5 для подтверждения кроссчейн-транзакций). Были даны технические детали и предложена помощь в реализации. В феврале 2025 года команда Kelp подтвердила получение отчёта.
Через 15 месяцев мост продолжал работать с одним валидатором; мультиподписи так и не реализовали, альтернативных мер не добавили. За это время TVL вырос со $180 млн до более $400 млн — всё ещё на той же уязвимой архитектуре.
Реакция DeFi-сообщества ожидаема и обоснована: обсуждаются обязательные публикации аудитов, страхование мостов, минимальные требования к валидации. Но все эти предложения уже выдвигались после взлома Wormhole в 2022 году и краха Multichain в 2023. Индустрия продолжает обсуждать одни и те же риски после каждой ошибки на мостах.
Что означает падение TVL для рисков DeFi сейчас
Значение $85 млрд TVL важно не только как шоковая цифра.
Пик TVL в DeFi составлял около $170 млрд в октябре 2025 года на фоне бума рестейкинга и ликвидного стейкинга. К моменту инцидента с Kelp TVL уже снизился до $99 млрд (минус 42%) из-за общей слабости рынка и снижения активности на фарминге. Взлом Kelp ускорил падение ещё на 14% за два дня, вернув TVL к уровням восстановления после медвежьего рынка 2024 года.
Также важно, из каких протоколов происходил отток. По данным DeFiLlama, больше всего средств вывели с лендинговых платформ (Aave, Compound, Euler), а не с DEX или агрегаторов доходности. Это кризис доверия к обеспечению, а не к ликвидности: трейдеры продолжают обмениваться токенами на Uniswap и Curve, но не готовы предоставлять их в залог при неясном качестве обеспечения.
Для сравнения: после коллапса Terra/Luna в мае 2022 года TVL упал примерно на $30 млрд. В номинальном выражении падение из-за Kelp составило $14 млрд, но в пересчёте на базу это сопоставимый удар. Механизм схож: токен, который должен был держать привязку, её потерял, а интегрированные с ним протоколы столкнулись с цепной реакцией сбоев.
Какие меры принимают DeFi-протоколы
Многие протоколы переходят от экстренных заморозок к структурным изменениям.
В форуме управления Aave рассматриваются три предложения: ограничить долю любого одного ликвидного стейкингового токена 15% от общего залога, ввести обязательное страхование мостов для акцептованных токенов, а также требовать ежеквартальные внешние аудиты мостов с автоматическим делистингом при их отсутствии.
Spark от MakerDAO пошёл дальше: он больше не будет принимать любые токены ликвидного рестейкинга в качестве основного обеспечения, если под ними нет моста с мультиподписью хотя бы 5 из 9 валидаторов — большинству текущих токенов это не подходит.
Экстренное голосование Compound прошло за 18 часов после взлома — рекордно быстро. RsETH был окончательно исключён, а для новых типов залога теперь требуется трёхдневная проверка безопасности вместо двух.
Это значимые изменения, но они носят реактивный характер. В DeFi всегда одна и та же схема: эксплойт выявляет видимый заранее системный риск, протоколы устраняют конкретную уязвимость, и следующий взлом происходит по неизведанному вектору.
Часто задаваемые вопросы
Почему TVL в DeFi снизился на $14 млрд за два дня?
Эксплойт на $292 млн в мостовом контракте Kelp DAO привёл к утрате привязки rsETH. Поскольку rsETH использовался как залог в девяти крупных лендинговых протоколах, это вызвало массовые выводы средств из-за падения доверия к обеспечению. Только с Aave было выведено $6,6 млрд за 36 часов.
Можно ли было предотвратить эксплойт Kelp?
Да, по всей доступной информации эксплойт был предотвратим. LayerZero отмечала уязвимость архитектуры с одним валидатором за 15 месяцев до инцидента и рекомендовала мультиподпись. Kelp знала о проблеме, но не внедрила решение даже по мере роста TVL.
Сможет ли TVL DeFi быстро восстановиться?
Восстановление будет зависеть от скорости внедрения новых стандартов обеспечения и от общего состояния рынка. TVL сейчас примерно вдвое ниже пика октября 2025 года; кризис доверия к обеспечению идёт параллельно с рыночным спадом. Исторически на восстановление после подобных событий уходит месяцы, а не недели.
Стоит ли выводить средства из DeFi-лендингов?
Риски сосредоточены в протоколах, где в качестве залога до сих пор принимают ликвидные токены рестейкинга без новых стандартов безопасности. Протоколы, уже заморозившие или исключившие rsETH (Aave, Compound, Spark), устранили текущую угрозу. Перед решением проверьте, под какие активы выдан ваш залог.
Главное
DeFi столкнулся с самым серьёзным кризисом залогового обеспечения со времён Terra/Luna. Самое показательное — не сумма ущерба, а то, что уязвимость была задокументирована и проигнорирована 15 месяцев при трёхкратном росте TVL. Сейчас TVL на минимуме за 12 месяцев; восстановление доверия займёт больше времени, чем устранение технических проблем.
Строгие лимиты по обеспечению, обязательные аудиты мостов и требования к мультиподписям — шаг в правильном направлении, но эти меры устраняют последствия прошлых проблем. Структурный риск сохраняется: главная сила DeFi — компонуемость — одновременно и главный источник системных угроз. Пока стандарты безопасности не будут соответствовать уровню взаимосвязанности залоговых цепочек, любой токен ликвидного стейкинга может повторить судьбу rsETH.
Следите за голосованиями в Aave в ближайшие недели. Если лимит на 15% по стейкинг-деривативам будет принят, это станет новым отраслевым стандартом и первой настоящей структурной защитой от подобных эксплойтов.
Данный материал предназначен исключительно для ознакомления и не является финансовой или инвестиционной рекомендацией. Торговля криптовалютой сопряжена с высокими рисками. Всегда проводите собственный анализ перед принятием решений.
