За последние сутки криптосообщество обсуждает крупнейший взлом 2026 года — атаку на протокол KelpDAO, в результате которой злоумышленники вывели активы на $293 млн. Инцидент произошёл 15 мая 2026 года и затронул кроссчейн-мост между Ethereum и Arbitrum.
Что зафиксировано
Атакующий использовал уязвимость в смарт-контракте моста, который обрабатывал депозиты ликвидности. По данным блокчейн-аналитиков, злоумышленник подменил адрес получателя в промежуточном вызове, воспользовавшись нестандартной логикой проверки подписей. В результате было выведено 98 000 ETH (около $293 млн по курсу на момент атаки). Протокол KelpDAO подтвердил инцидент и приостановил работу моста. Подробнее — майнеры в наличии.
Причины
Главная причина — не ошибка в коде, а сложность архитектуры. Мост KelpDAO включал несколько уровней абстракции: L1-контракты на Ethereum, L2-контракты на Arbitrum и внешний оракул для валидации. Атакующий нашёл расхождение в логике обработки сообщений между этими слоями. Как отметили в KelpDAO, «уязвимость возникла из-за недокументированного поведения при рекурсивных вызовах». По нашим наблюдениям, это уже третий крупный взлом кроссчейн-моста за последние 12 месяцев — предыдущие случаи (Multichain на $126 млн в 2023 году и Wormhole на $326 млн в 2022 году) также были связаны с межсетевой сложностью.
Цифры и метрики
- Сумма ущерба: $293 млн (98 000 ETH).
- Заблокированная стоимость в протоколе до атаки: $1,2 млрд.
- Падение TVL после взлома: на 85% за 6 часов.
- Цена токена KELP: упала на 62% за сутки.
- Количество затронутых пользователей: более 4 500 адресов.
Что будет дальше
KelpDAO объявил о плане компенсации пострадавшим из казначейского резерва в $150 млн и привлёк страховой фонд на $50 млн. Ожидается, что протокол возобновит работу через 2–3 недели после аудита. Однако доверие к кроссчейн-мостам в целом снизилось: объём ликвидности в аналогичных решениях (Synapse, Stargate) сократился на 15–20% за сутки. Регуляторы ЕС и США уже заявили о намерении усилить требования к аудиту DeFi-протоколов. Подробнее — майнинг-хостинг в дата-центре.
Уроки для российского майнера
Для российских участников рынка этот случай — напоминание о рисках DeFi, особенно при использовании кроссчейн-мостов для конвертации доходов от майнинга. В России, где промышленный майнинг активно развивается в Иркутской области и Красноярском крае (тарифы для майнеров — около 3–5 ₽/кВт·ч), многие операторы используют DeFi для обмена добытых монет на фиат. При взломе моста средства могут быть заблокированы на недели, что критично для расчётов с поставщиками электроэнергии. Кроме того, налоговая отчётность по НДФЛ (13–15%) или налогу на прибыль (25%) требует фиксации убытков — в случае взлома это отдельная процедура, которую ФНС пока не регламентировала. Рекомендуется хранить основные средства на холодных кошельках и использовать только проверенные мосты с многолетней историей.
Инцидент с KelpDAO подтверждает: DeFi переходит от борьбы с багами к борьбе со сложностью. Для российских майнеров это означает необходимость более консервативного подхода к выбору инфраструктуры — в условиях, когда регуляторное поле в РФ только формируется, потеря средств из-за технической уязвимости может стать не только финансовой, но и юридической проблемой.
Комментарии
0