#ArbitrumFreezesKelpDAOHackerETH Останній інцидент, пов’язаний з експлуатацією Kelp DAO та екстреним втручанням Ради безпеки Arbitrum, швидко став одним із найвизначальніших моментів 2026 року для децентралізованих фінансів. Це не просто ще одна злам у довгій історії порушень DeFi — це структурний тест на стійкість того, як екосистеми Layer 2, міжланцюгові мости та децентралізоване управління справді поводяться під екстремальним тиском.

Що сталося, змусило всю криптоіндустрію стикнутися з незручними питаннями щодо безпеки, контролю та децентралізації у масштабі, якого раніше не бачили.
Злом, який потряс Liquid Restaking
Кризу почала, коли Kelp DAO, протокол ліквідного повторного залучення, зазнав масштабного зламу, спрямованого на його міжланцюгову інфраструктуру. Kelp DAO дозволяє користувачам вносити активи, такі як stETH і cbETH, і отримувати у відповідь rsETH, які потім можна використовувати на кількох ланцюгах для отримання доходу.
Зловмисник використав вразливість у системі валідації міжланцюгових повідомлень, побудованій на базі інфраструктури LayerZero. Створивши підроблене, але здавалося б, дійсне повідомлення, зловмисник обдурив систему, щоб вона випустила кошти без належного забезпечення.
Це був не простий баг у смарт-контракті — це був системний збій у валідації на кількох рівнях міжланцюгового зв’язку.
Зловмисник, за повідомленнями, використовував інструменти приватності, такі як Tornado Cash, щоб приховати походження коштів, і попередньо розмістив ліквідність перед виконанням зламу. Загалом було вкрадено близько 116 500 rsETH — майже $292 мільйонів доларів — що становить значну частину обігу.
Масштаб атаки миттєво зробив її однією з найбільших DeFi-зломів року і викликав негайні побоювання щодо стабільності rsETH у різних екосистемах.
Екстрене втручання Arbitrum
Коли кошти почали надходити в екосистему Arbitrum через мости, ситуація швидко загострилася. Частина вкрадених активів — близько 30 766 ETH на суму приблизно $71 мільйонів доларів — потрапила на Arbitrum One.
На цьому етапі Рада безпеки Arbitrum прийняла дуже суперечливе, але рішуче рішення: вони проголосували за замороження скомпрометованих коштів.
Рішення було прийнято більшістю 9 із 12 голосів, активувавши екстрені повноваження управління, що дозволяють втручатися у надзвичайних ситуаціях. Заморожені активи були переведені у керований радою гаманець до подальших рішень.
Цей крок одразу розділив спільноту.
Підтримувачі стверджували, що ця дія запобігла незворотнім втратам і створила шлях до потенційного відновлення для постраждалих. Однак критики вважали це небезпечним прецедентом — натякаючи, що мережі Layer 2, хоча й позначені як децентралізовані, все ще залежать від централізованих екстрених повноважень.
Основна технічна несправність у Kelp DAO
У центрі зламу лежить глибша архітектурна проблема у реалізації міжланцюгової валідації.
Система Kelp DAO базувалася на конфігурації, яка дозволяла один шлях перевірки для міжланцюгових повідомлень. Це означало, що якщо цей один рівень перевірки був обдурений, вся система приймала фальшиві повідомлення як легітимні.
Саме цю вразливість і використав зловмисник.
Після прийняття підробленого повідомлення протокол випустив активи, ніби вони були належним чином забезпечені, створюючи значний дисбаланс у пропозиції rsETH. В результаті частина rsETH тепер фактично недозастрахована на кількох ланцюгах, що створює невизначеність для власників і постачальників ліквідності.
Такий збій підкреслює фундаментальну проблему модульного дизайну DeFi: чим більш складні та взаємопов’язані системи, тим більш крихким стає їхній найслабший пункт перевірки.
Дебати про відповідальність: хто винен?
Як і очікувалося у випадках масштабних зломів у DeFi, відповідальність стала предметом суперечок.
Представники LayerZero стверджують, що проблема виникла через те, як Kelp DAO налаштував свої параметри безпеки, зокрема через рішення покладатися на один механізм перевірки замість багатоконтрольної моделі.
З іншого боку, Kelp DAO наполягає, що його реалізація відповідала офіційній документації та рекомендованим шаблонам інтеграції, натякаючи, що вразливість могла бути системною, а не лише через неправильну конфігурацію користувача.
Ця суперечка підкреслює давню проблему у інфраструктурі Web3: відсутність чітко визначених меж відповідальності між протоколами, провайдерами інфраструктури та розробниками додатків.
Коли щось йде не так, відповідальність розділяється по всьому стеку.
Реакція ринку та шок довіри
Реакція ринку була миттєвою та інтенсивною. rsETH зазнав значного тиску, оскільки користувачі поспішали переоцінити, чи їхні активи все ще повністю забезпечені. Ліквідність розпорошилася по ланцюгах, ускладнюючи викуп і арбітраж.
Ще важливіше, довіра до ліквідного повторного залучення як категорії зазнала удару.
Міжланцюгові стратегії, які раніше здавалося, були дуже ефективними, тепер здаються значно ризикованішими, особливо коли мости стають мішенню для атак.
Хоча втручання Arbitrum запобігло подальшому переміщенню вкрадених коштів, воно не повністю відновило довіру до базової архітектури протоколу.
Дилема децентралізації та безпеки
Можливо, найважливішим наслідком цієї події є не технічний, а філософський аспект.
Криптоіндустрія знову обговорює ключове питання: чи повинні децентралізовані системи мати можливість втручатися у надзвичайних ситуаціях?
З одного боку, екстрені управлінські дії, такі як замороження коштів, можуть зменшити шкоду, захистити користувачів і стабілізувати екосистеми під час криз. Без таких механізмів вкрадені кошти, ймовірно, були б назавжди втрачені.
З іншого боку, критики стверджують, що коли система може заморожувати або контролювати активи, вона вводить централізований рівень влади, що суперечить основній обіцянці децентралізації.
Рішення Arbitrum тепер встановлює прецедент: органи управління Layer 2 можуть бути зобов’язані втручатися у майбутніх кризах, незалежно від згоди спільноти.
Більші наслідки для екосистем Layer 2
Цей інцидент має важливі наслідки для всіх мереж Layer 2, включаючи рішення для масштабування на базі Ethereum.
Екстрені ради, багатопідписні системи управління та комітети безпеки вже не є опцією — вони стають необхідними компонентами інфраструктури.
Наступний виклик — як формалізувати ці системи так, щоб збалансувати прозорість, відповідальність і децентралізацію.
Якщо управління буде занадто слабким, користувачі ризикують незворотними втратами. Якщо ж воно буде надто сильним, система почне нагадувати традиційні фінансові структури контролю.
Мости міжланцюгових зв’язків під тиском
Цей злам також підтверджує добре відому істину в DeFi: міжланцюгові мости залишаються одними з найуразливіших компонентів у всій екосистемі.
Складні системи повідомлень, множинні припущення щодо валідаторів і асинхронна перевірка стану створюють середовище, де одна помилка може спричинити системний збій.
Як результат, індустрія, ймовірно, рухатиметься у напрямку:
Більш надійних багатоконтрольних схем
Резервних рівнів перевірки
Більш обережних припущень щодо мостів
Ретельних аудитів контрактів для інтероперабельності перед розгортанням
Однак ці покращення можуть коштувати швидкості та гнучкості, потенційно сповільнюючи інновації у міжланцюговому DeFi.
Що чекати далі
З огляду на майбутнє, ймовірно, відбудуться кілька структурних змін:
DeFi-протоколи запровадять суворіші стандарти розкриття ризиків, щоб користувачі краще розуміли міжланцюгові ризики. Рамки управління стануть більш формалізованими, особливо у мережах Layer 2. Ради безпеки можуть стати стандартною частиною інфраструктури, а не винятком.
Регулятори також можуть проявити підвищену зацікавленість у міжланцюговій інфраструктурі, особливо коли збитки сягнуть сотень мільйонів доларів.
Найголовніше, розробники можуть перейти до пріоритету безпеки у архітектурі, а не до агресивної комодитизації.