Рада безпеки L2-мережі Arbitrum вжила «надзвичайних заходів» і заморозила 30 766 ETH (~$71,2 млн), викрадені з протоколу Kelp.
The Arbitrum Security Council has taken emergency action to freeze the 30,766 ETH being held in the address on Arbitrum One that is connected to the KelpDAO exploit. The Security Council acted with input from law enforcement as to the exploiter’s identity, and, at all times,…
«Команда діяла з урахуванням думки правоохоронних органів щодо особи зловмисника і постійно брала до уваги свої зобов’язання із забезпечення безпеки та цілісності спільноти, не зачіпаючи при цьому користувачів чи застосунки», — йдеться в повідомленні.
Кошти відправили на «проміжний заморожений гаманець». Початкова адреса більше не має до них доступу — тепер переміщувати активи може лише керівництво проєкту.
Законні власники отримають монети після узгодження.
Суперечки щодо децентралізації
Заморозка криптовалют — дискусійна тема. Опоненти вважають, що вона суперечить духу технології. Прихильники впевнені, що блокування коштів, пов’язаних зі злочинами, зміцнює безпеку та цілісність блокчейна.
Багато користувачів розкритикували дії Arbitrum і засумнівалися в децентралізації мережі.
so a council can just freeze 30k eth and we’re still calling this decentralized?
Член ради безпеки Arbitrum Гріфф Грін відповів на претензії з боку спільноти. За його словами, ухвалення рішення далося проєкту нелегко. Усі учасники протягом «незліченних годин» обговорювали заморозку коштів з огляду на технічні, практичні, етичні та політичні аспекти.
I’m a member of the Security Council & I can tell you we did not make this decision lightly, there were countless hours of debates, technical, practical, ethical and political.
But all it takes for evil to triumph is for good men to do nothing, so today, we decided to do… https://t.co/tArbmXwZKN
Грін підкреслив, що не всі члени ради проголосували за блокування активів. На користь заморозки висловилися дев’ять із 12 учасників.
Безнадійний борг Aave
Одним із постраждалих від зламу Kelp став Aave. Раніше в Lookonchain заявили, що інцидент залишив протокол із «дірою» в балансі приблизно на $195 млн.
Фахівець з управління ризиками лендингової платформи LlamaRisk описав два можливі сценарії того, як безнадійний борг вплине на екосистему.
Update on rsETH incident:@LlamaRisk has published a report outlining the rsETH incident, the immediate actions taken, its impact on Aave, and potential paths forward.
All service providers have been working to assess the two potential bad debt scenarios on the Aave protocol.…
Перший сценарій: збитки розподілять між усіма тримачами rsETH у основній мережі Ethereum і L2-рішеннях. Тоді «діра» в балансі Aave становитиме близько $123,7 млн, а rsETH може знецінитися на 15% відносно провідного альткоїна.
У LlamaRisk підкреслили, що в такому разі втрати розподіляться рівномірніше всіма блокчейнами. wETH «поглине основну частину в абсолютному вимірі, але майже не відчує цього відносно глибини своїх резервів».
У Aave є інструмент — модель безпеки Umbrella — для покриття збитків у wETH. 18 922 aWETH (~$43,7 млн) уже пройшли фазу охолодження і готові до виведення зі стейкінгу.
Другий сценарій: увесь дефіцит ляже на другий рівень (Arbitrum, Mantle). Тоді безнадійний борг сягне $230,1 млн.
У LlamaRisk нагадали, що Aave має близько $181 млн у казні — ці резерви можна задіяти для покриття можливого дефіциту.
Напередодні в Kelp повідомили, що продовжують оцінювати збитки від зламу та можливості безпечного відновлення роботи протоколу.
Партнер Dragonfly Хасіб Куреші впевнений, що поточні ризики не загрожують DeFi-сектору. На його думку, у Aave та подібних протоколів достатньо капіталу для покриття безнадійних боргів.
DeFi learns through failures. Whether it’s from the collapse of Terra, broken auctions during Black Friday in 2020, or the stETH depeg in 2022, it has failed over and over again—but with every failure, it improves.
People talk all sorts of shit about this, but it’s no different…
«DeFi вчиться на помилках. Чи то крах Terra, збої аукціонів під час «чорної п’ятниці» 2020 року або депег stETH у 2022-му — з кожною невдачею екосистема стає кращою. […] DeFi нікуди не зникне», — написав експерт.
Винен LayerZero
Команда Kelp також поділилася першими результатами розслідування зламу. Розробники переклали провину на LayerZero, де раніше заявиляли, що причиною зламу стало використання проєктом конфігурації 1/1 DVN.
«Схема 1/1 описана в документації LayerZero і використовується за замовчуванням для будь-якого нового розгортання OFT. Ми працюємо на їхній інфраструктурі з січня 2024 року і впродовж усього цього часу підтримуємо зв’язок», — зазначили в Kelp.
Представники протоколу додали, що питання про налаштування DVN підіймалося під час розширення на L2. За їхніми словами, тоді стандартна конфігурація була «схвалена як така, що відповідає вимогам».
На момент написання в LayerZero не відповіли на заяви команди Kelp.
Рішення від Джастіна Сана
Засновник TRON Джастін Сан звернувся до зловмисників Kelp і закликав до переговорів.
OK — Kelpdao hacker, how much you want? Let’s just talk. With KelpDAO’s help, of course. It’s simply not worth it to sacrifice both Aave and KelpDAO and let them go down over this hack. You can’t spend $300 million anyway.
«Хакер, скільки ти хочеш? Давай поговоримо. За участю Kelp, звісно. Не варто жертвувати і Aave, і Kelp, дозволивши їм впасти через цей злам. Ти все одно не зможеш витратити $300 млн», — написав він.
Мотиви Сана лишаються неясними. Водночас пов’язані з його біржею HTX адреси переказували сотні мільйонів на Aave. За даними Protos, на грудень 2025 року понад $1,4 млрд USDT-резервів майданчика лежали в кредиті на Aave.
Ончейн-аналітик під псевдонімом EmberCN також звернув увагу, що афілійовані із засновником TRON гаманці активно виводили USDT із лендинг-протоколу після призупинення операцій.
另外,他凌晨为了把存在 Aave 上的 1.74 万枚 ETH 取回,通过 Swap 把存款凭证 (aEthWETH) 直接卖成 ETH,损失了 310 枚 ETH ($72 万)。也就是折价了 1.8%。
«[…] гаманець провів п’ять транзакцій, вивівши загалом $274 млн у USDT і повністю закривши свою позицію в стейблкоїнах на платформі», — зазначив експерт.
Серед інших великих гравців, які виводили кошти з Aave, помічені біржа MEXC та інвестиційна компанія Abraxas Capital.
Due to the KelpDAO exploiter borrowing over 82,600 $ETH ($195M) from #Aave using $RSETH as collateral, bad debt has appeared on #Aave.
Many whales have withdrawn funds from #Aave, causing its TVL to drop from $26.396B to $20.114B — a decline of $6.28B.
