Kelp DAO rsETH exploit — $292M stolen
Активный инцидент на момент публикации
LayerZero 1-of-1 DVN compromised (attrib. Lazarus Group). 89,567 rsETH pledged on Aave as collateral → $193M WETH borrowed. Aave bad debt модель: $124–230M, не погашен. Aave core код не скомпрометирован — риск листинга внешнего LRT-актива с уязвимым bridge.
Ключевые цифры отчёта
Top-3 стабильны при любых весах; Aave тянет вниз активный Kelp-долг
Scorecard на baseline-весах (audit 20% · exploit 25% · bad debt 15% · governance 15% · oracle 10% · arch 10% · chain 5%)
Euler v2 (EVC+EVK)
Compound v3 (Comet)
Morpho (Blue + MetaMorpho)
Aave v3
Fluid (Instadapp)
Рекомендация для Yield Chaser
- ✓Morpho — основной: USDC Steakhouse / Gauntlet Prime vaults на Ethereum; MetaMorpho на Base. Cap 25–30%
- ✓Compound v3 — backup stable pillar. Все чейны, но L2 тонкие. Cap 20–25%
- ✓Euler v2 — только через curated clusters (не permissionless vaults). Cap 10–15%
- ⚠Aave — сократить до <20% пока Kelp debt не закрыт. Заморозить новые LRT-позиции
- ✗Fluid — не более 5%, только чистые стейблы, никаких LP/LRT. Ждать реализованного circuit breaker
Красные флаги апреля 2026
Семь измерений безопасности, взвешенная сумма 0–100
Каждое измерение — эксперт-рейтинг 0–100 на основе первичных источников (аудиты, post-mortems, DefiLlama, Immunefi, governance forums)
| # | Dimension | Weight | Что считаем |
|---|---|---|---|
| 1 | Audit depth | 20% | Tier-1 фирмы (OZ, ToB, Spearbit, Certora, ChainSecurity) + breadth + recency. Contests с дисконтом. |
| 2 | Exploit history | 25% | Прямые core-эксплойты + незакрытый bad debt. Recency-decay. Активные события = x0.5 penalty. |
| 3 | Bad debt resilience | 15% | Размер backstop vs максимально правдоподобный убыток. Socialized losses = ceiling 60. |
| 4 | Governance risk | 15% | Глубина timelock, guardian separation, scope апгрейда, история атак, immutability core. |
| 5 | Oracle risk | 10% | Redundancy, staleness check, fallback, иммутабельность адаптеров. Permissionless = ceiling 70. |
| 6 | Architecture isolation | 10% | Isolated + immutable = ceiling 100. Pool-wide = ceiling 55. Shared liquidity = ceiling 45. |
| 7 | Chain maturity | 5% | Наличие на ETH+Arbitrum+OP+Polygon+Avalanche+BNB, взвешено по TVL и сроку. |
Источники (по каждому протоколу)
Primary — официальные репозитории
GitHub aave-dao/aave-v3-origin, morpho-org/morpho-blue, Instadapp/fluid-contracts-public, compound-finance/comet, euler-xyz/euler-v2-audits
Auditor publications
OpenZeppelin, ChainSecurity, Trail of Bits, Spearbit/Cantina, Certora, Omniscia, PeckShield, MixBytes, StateMind, Blackthorn, Zellic, Ackee, yAudit, Code4rena, Sherlock
Incident DBs
DefiLlama /hacks, Rekt.news, Halborn post-mortems, команды протоколов blog + governance forums (Aave, Compound, Morpho, Euler, Fluid)
Confidence levels
HIGH 3+ независимых источника
MED 2 источника
LOW 1 источник
Полный список URL и даты доступа — sources.md (слайд 15).
Top-3 устойчивы при любых весах — Aave и Fluid стабильно внизу
Три сценария весов: baseline, exploit-heavy (track record > audits), architecture-heavy (Yield Chaser lens)
Scenario A · Baseline 20/25/15/15/10/10/5
Балансирует превенцию (аудиты) и trackрекорд (эксплойты).
| 1 | Euler v2 ↑ | 80.30 |
| 2 | Compound | 79.30 |
| 3 | Morpho | 78.60 |
| 4 | Aave ↓ | 64.20 |
| 5 | Fluid | 57.85 |
Scenario B · Exploit-heavy 15/35/15/15/10/5/5
Реальные потери важнее покрытия аудитами.
| 1 | Compound | 80.00 |
| 2 | Euler v2 | 78.65 |
| 3 | Morpho | 76.90 |
| 4 | Aave ↓↓ | 61.70 |
| 5 | Fluid | 58.20 |
Scenario C · Architecture-heavy 15/20/15/10/10/20/10
Изоляция и присутствие на сетях = приоритет Yield Chaser.
| 1 | Compound | 79.25 |
| 2 | Morpho | 77.80 |
| 3 | Euler v2 | 77.40 |
| 4 | Aave | 62.55 |
| 5 | Fluid ↓ | 54.20 |
Хронология инцидентов 2021–2026 · восемь событий
Core smart-contract exploits помечены красным, внешние/social — жёлтым. Recovery и zero-loss события — зелёным
| Дата | Протокол | Событие | Сумма |
|---|---|---|---|
| 2021-09 · Sep | Compound v2 | COMP distribution bug | $80M lost |
| 2022-11 · Nov | Aave v2 | CRV/Eisenberg | $1.7M bad debt |
| 2023-03 · Mar | Euler v1 | donateToReserves flaw | $197M — $240M returned |
| 2024-07 · Jul | Compound DNS | Squarespace hijack | off-chain |
| 2024-10 · Oct | Morpho Blue | PAXG oracle adapter | $230K |
| 2025-04 · Apr | Morpho SDK | Bundler2→3 migration | $0 — whitehat |
| 2026-03 · Mar | Fluid / Aave | Resolv depeg + CAPO | $70M + $26M |
| 2026-04-01 · Lazarus | Drift | Social engineering | $283M |
| 2026-04-18 · Now | Aave · Kelp | LayerZero DVN | $292M → 9 protocols |
Паттерн 2024–2026 + Lazarus кампания
Ни одного прямого взлома core-кода топ-5 лендингов с Euler v1. Все события — через внешнюю поверхность: oracle adapter, DNS, SDK, collateral-депег, CAPO, LayerZero DVN. Апрель 2026 — скоординированная Lazarus кампания: Drift $283M (social-engineering governance signers, 1.04) + Kelp $292M (RPC poisoning + DDoS failover, 18.04) = $575M за 18 дней. Это системный риск для всех мультичейн-протоколов вне зависимости от кода.
9 / 9 пострадавших протоколов
Aave (основной), SparkLend (exposure $37K — заранее удалил rsETH в янв 2025), Fluid, Compound v3, Euler v2, Morpho (~$1M из ~500 vaults), Lido Earn/Mellow, Pendle/Upshift, Beefy. Приоритет сегодня — isolation + limited cross-chain footprint. Euler v2 и Compound v3 имеют relative advantage; Aave с 11 деплоями — elevated exposure.
Aave v3 · 64.20 · Tier D (v1.1 downgrade)
Самый глубокий аудит-стек в DeFi. Но pool-wide architecture + активный Kelp-долг + Umbrella реально выгрузилась в cooldown до паузы — downgrade с 67.05
Dimension breakdown
Инциденты · Kelp waterfall (Llamarisk)
| Date | Event | Loss | Status |
|---|---|---|---|
| 2026-04-21 | Arbitrum SC заморозил средства эксплойтера | +$71M recovered | 30,766 ETH |
| 2026-04-18 | Kelp DAO rsETH (LayerZero DVN) | $124–230M | ACTIVE |
| 2026-03 | CAPO wstETH E-Mode misconfig | $26M | Reimbursed |
| 2022-11 | CRV Eisenberg (v2) | $1.7M | Treasury covered |
| 2022-06/09 | Harmony / Fantom deprecation | $1.5M stuck | Deprecated |
Аудит stack (ключевые)
OpenZeppelinCertora · continuous FV since 2022Trail of Bits · v4ChainSecurity · v4SpearbitPeckShieldSigma PrimeSherlock · v4MixBytesCantinaAckee
Umbrella — v1.1 red flag
Архитектура · Oracle
Fluid (Instadapp) · 57.85 · Tier D
Самый молодой протокол в наборе с агрессивной механикой (95% LTV, 0.1% penalty). Shared liquidity layer = системная зараза
Dimension breakdown
Инциденты
| Date | Event | Loss | Status |
|---|---|---|---|
| 2026-03-22 | Resolv USR depeg (AWS key compromise → mint 50M USR) | $70M bad debt | Private bail-out · 3 дня |
Аудит stack
PeckShieldStateMind ×2MixBytes ×3Cantina competitionSherlock · $200KCode4rena · $93.5K
Governance · Oracles
Архитектура — корневой риск
Morpho (Blue + MetaMorpho) · 78.60 · Tier B
Immutable Blue + isolated markets. В Kelp: ~$1M из ~500 vaults затронуты — изоляция работает. Но curator risk — повторный вектор за <2 месяца
Dimension breakdown
Инциденты · паттерн isolated vaults
| Date | Event | Loss | Status |
|---|---|---|---|
| 2026-04-18 | Kelp rsETH — 2 vaults из ~500 затронуты | ~$1M | Blue core держит |
| 2025-11 | Resolv USR — 15 MetaMorpho vaults (Gauntlet $4.95M) | curator-level | Blue-chip vaults safe |
| 2025-04-10 | Bundler2→3 SDK migration | $0 · whitehat | Zero loss |
| 2024-10-13 | PAXG/USDC oracle adapter bug | $230K | Blue unaffected |
Аудит stack (2 слоя)
Blue core
OpenZeppelinSpearbitCantina contestCertora FV
Vaults V2 · 11 engagements
Spearbit ×4Certora ×2ZellicBlackthorn ×2ChainSecurityCantina
Архитектура — сильные стороны
Красные флаги
Compound v3 (Comet) · 79.30 · Tier B
Самый clean track-record среди топ-5: ноль on-chain эксплойтов за 3.5 года. Single-borrow-asset per Comet = естественная изоляция
Dimension breakdown
Инциденты (не core v3)
| Date | Event | Loss | Status |
|---|---|---|---|
| 2026-04 | rsETH collateral via Kelp exploit | small, undisc. | Ongoing |
| 2024-07 | Proposal 289 governance attack (Humpy / Golden Boys) | almost $24M | Political resolution |
| 2024-07 | DNS hijack (Squarespace) | off-chain | Unknown |
| 2021-09 | v2 COMP distribution bug (legacy) | $68.8M | v2, not v3 |
Аудит stack
OpenZeppelin ×2ChainSecurityCertora FV · pre-launch bug caught
Архитектура — сильные стороны
Красные флаги
Euler v2 (EVC + EVK) · 80.30 · Tier B
Единственный с внешней страховой rail: Sherlock $10M coverage от дня-1. После v1-краха — крупнейшая аудит-программа ($4M, 60+ reviews). 19 месяцев v2 — ноль эксплойтов
Dimension breakdown
Инциденты
| Date | Event | Loss | Status |
|---|---|---|---|
| 2024-09 — now | Euler v2 mainnet (19 месяцев) | $0 | Zero incidents |
| 2023-03-13 | Euler v1 · donateToReserves flaw | $197M | Returned $240M |
Аудит stack · $4M
Spearbit ×4ChainSecurity ×3Trail of BitsCertora FVOpenZeppelinOmnisciayAudit ×5ZellicOtterSecBailSecCantina · $1.25M
Sherlock · внешняя страховая rail
Архитектура · Governance
Аудиторские фирмы × протоколы — покрытие Tier-1 неравномерно
Галочка = минимум один публичный engagement. Количество — в скобках. Только Euler v2 и Aave имеют полный Tier-1 стек
| Аудиторская фирма | Tier | Aave v3 | Fluid | Morpho | Compound v3 | Euler v2 |
|---|---|---|---|---|---|---|
| OpenZeppelin | 1 | ✓ | — | ✓ (3) | ✓ (2) | ✓ |
| Trail of Bits | 1 | ✓ (v4) | — | — | — | ✓ |
| Spearbit / Cantina | 1 | ✓ | contest | ✓ (5) | — | ✓ (4) |
| Certora (formal verification) | 1 | ✓ continuous | — | ✓ (3) | ✓ pre-launch | ✓ (2) |
| ChainSecurity | 1 | ✓ (v4) | — | ✓ | ✓ | ✓ (3) |
| Sherlock (contest) | 2 | ✓ (v4) | ✓ $200K | — | — | — |
| Code4rena (contest) | 2 | — | ✓ $93.5K | — | — | — |
| Sigma Prime / PeckShield / MixBytes | 2 | ✓ all | ✓ MixBytes×3, PeckShield | — | — | — |
| Ackee / StateMind / Blackthorn / Zellic / yAudit / Omniscia | 3 | ✓ Ackee, Blackthorn | ✓ StateMind×2 | ✓ Blackthorn×2, Zellic | — | ✓ Omniscia, yAudit×5, Zellic, OtterSec |
| Итого Tier-1 (первые 5 строк) | — | 5/5 | 1/5 contest | 4/5 | 3/5 | 5/5 |
| Общее число engagements | — | 40+ | 7 | 19+ | 4 | 60+ |
Оракулы и архитектура — как ломается каждый протокол
Типы изоляции, oracle-зависимости, upgrade paths и доказанные failure modes 2024–2026
| Протокол | Архитектура | Изоляция | Oracle stack | Upgradeability | Proven failure mode |
|---|---|---|---|---|---|
| Aave v3 | Pool-wide + e-Mode + isolation mode | Partial | Chainlink + CAPO wrapper + SVR (no fallback) | Proxy, governance timelock 1d/7d | rsETH listing → pool-wide contagion (Kelp Apr 2026) |
| Fluid | Shared Liquidity Layer + Vaults + DEX | Нет (worst) | Chainlink + Redstone + Uniswap TWAP ×3 | Upgradeable, 10d timelock | Collateral depeg (Resolv USR) → system-wide debt (Mar 2026) |
| Morpho Blue | Isolated immutable markets + curator vaults | Best | Permissionless, IMMUTABLE per market | Blue — immutable; MetaMorpho upgradeable | Oracle adapter bug в конкретном market (PAXG $230K) |
| Compound v3 | Per-Comet (one base asset per market) | Strong | Chainlink only, no fallback, no staleness | Comet upgradeable via Configurator | DNS hijack (off-chain, Jul 2024) |
| Euler v2 | Immutable EVC + modular vaults | Strong | ERC-7726 multi-provider, immutable adapters | EVC immutable, vaults upgradeable | Ни одного в v2 (19 месяцев) |
Oracle surface · итоги
- ✓Euler v2 — иммутабельные адаптеры для 7 провайдеров, ERC-7726 quote-based. Минимальная single-point exposure.
- ✓Fluid — trippel-stack (Chainlink + Redstone + Uniswap TWAP), но не помогает от smart-contract-level collateral depeg.
- ⚠Aave — CAPO — мощная абстракция, но сложная: март 2026 показал фрагильность on-chain constraint.
- ⚠Morpho — permissionless oracle = свобода выбора при листинге; плохой выбор нельзя откатить (immutable).
- ✗Compound v3 — Chainlink only без fallback и staleness, флаг ChainSecurity 2022 не закрыт.
Architecture surface · итоги
- ✓Morpho Blue — структурно чемпион: isolated + immutable. Curator-слой отделён.
- ✓Compound v3 — каждый Comet изолирован по base asset. Cross-market заражение невозможно.
- ✓Euler v2 — EVC immutable. Vaults upgradeable по-отдельности, риск локализован. Permissionless = user responsibility.
- ⚠Aave v3 — pool-wide by design. e-Mode снижает но не устраняет contagion-риск.
- ✗Fluid — shared liquidity = любая ошибка приводит к system-wide impact. Наихудшая изоляция.
Где деньги — TVL по целевым сетям Yield Chaser
Данные DefiLlama, 21.04.2026. Тонкий рынок = повышенный liquidation risk. Galochki = присутствие, TVL >$10M
| Chain | Aave v3 | Fluid | Morpho | Compound v3 | Euler v2 | Итого по сети |
|---|---|---|---|---|---|---|
| Ethereum | ~$10B | $641M | $3.14B | $1.16B | $799M | ~$15.7B |
| Arbitrum | ~$3B | $104M | $68M | $91M | $44M | ~$3.3B |
| Base | ~$1B | $23M | $2.6B | $29M | $7M | ~$3.7B |
| Optimism | ~$500M | — | — | $18M | — | ~$520M |
| Polygon | ~$600M | $5M | $13M | $8M | — | ~$625M |
| Avalanche | ~$500M | — | — | — | $45M | ~$545M |
| BNB Chain | ~$400M | $90M Plasma | — | — | $84M Plasma | ~$575M |
| Число сетей с TVL >$10M | 7 / 7 | 4 / 7 | 3 / 7 | 5 / 7 | 4 / 7 |
Коридоры размещения по сетям
- ✓Ethereum — выбор есть: Euler/Compound/Morpho/Aave. Score-приоритет: Euler > Compound > Morpho.
- ✓Base — Morpho доминирует ($2.6B). Альтернатива только Aave.
- ⚠Arbitrum — ликвидность рассыпана. Compound + Euler; Aave — жёсткий cap.
- ⚠Polygon / BNB / OP — Aave доминирует, альтернатив почти нет. Concentration risk.
- ✗Avalanche — только Aave и Euler. Лимитированный выбор.
★ Reference case · SparkLend
Spark (MakerDAO/Sky форк Aave) удалил rsETH ещё в январе 2025 на основании risk assessment. Результат в апреле 2026: exposure = $37,300 (15.32 rsETH) vs Aave $196M. Практическое доказательство proactive risk-management.
Spark не включён в scorecard (overlapping кода с Aave), но служит reference-benchmark: если Spark делистит актив — сильный сигнал для Aave-совместимых allocation до того, как придёт следующий exploit.
Allocation matrix для Yield Chaser и Real Trader
Предлагаемые лимиты на 21.04.2026 · пересмотр после закрытия Kelp bad debt и релиза Fluid circuit breaker
| Протокол | Cap | Основное использование | Сети | Что избегать | Review |
|---|---|---|---|---|---|
| Euler v2 #1 | 20–25% | Основной для exotic yields через curated clusters (Gauntlet, Objective Labs). Sherlock $10M coverage — единственная внешняя страховая rail. Узкий мультичейн = плюс сейчас. | ETH + Arbitrum + Avalanche | Permissionless vaults; hooks от неверифицированных операторов | Monthly |
| Compound v3 | 20–25% | Stable backbone. USDC/USDT/USDS Comets. Zero on-chain exploits за 3.5 года + single-borrow-asset isolation. Low cross-chain exposure. | ETH + Arbitrum + Base | L2 сильно тонкие markets (Scroll/Mantle/OP); экзотические collaterals | Quarterly |
| Morpho | 20–25% | Stable через vetted vaults: Steakhouse USDC, Gauntlet Prime USDC. На Base — primary. Каждый new curator — 30 дней observability. | ETH + Base | Non-Chainlink оракулы; новые curators; long-tail collateral vaults | Quarterly |
| Aave v3 v1.1 ↓ | 10–15% | Географический backbone (7/7 сетей). Умbrella не сработал как ожидалось — жёсткий cap. Вернуть к 20–25% только после: (1) закрытия Kelp, (2) реформы Umbrella cooldown. | Только Polygon/BNB/OP — безальтернативно | rsETH, weETH, любые bridged LRT; новые Umbrella-stakes; v4 Horizon RWA до clarity | Weekly · до закрытия |
| Fluid | ≤ 5% | Опционально: fTokens на USDC/USDT на ETH. Только эксперименты, не основной allocation. Ждать circuit breaker. | ETH only | Smart collateral (LP в vault), 95% LTV markets, любой LRT | Weekly |
Триггеры пересмотра v1.1
- !Закрытие Aave Kelp bad debt + реформа Umbrella cooldown → +10% к Aave
- !Реализация Fluid circuit breaker (≤60 сек) → +5% к Fluid
- !Третий isolated-vault инцидент в Morpho за 6 мес → downgrade curator-score
- !Euler v2 первый инцидент → review cap до 5%
- !Новая Lazarus атака на lending → mass re-review
Что обновить в коде DeFiCap
- →protocol_risk.py:44-179 — curated PROTOCOL_DATA drift
- →Aave: scores Umbrella-aware, Kelp-active flag + CAPO resolved
- →Morpho/Euler: bug_bounty_usd → 2.5M / 7.5M
- →Fluid: 7 audits; score 0.749 → 0.62; Resolv incident
- →Euler: launch_date → 2024-09-04; Sherlock coverage flag
- →Exploit Monitor → auto-pause Yield Chaser при Aave guardian-freeze
Operational guard rails v1.1
- ✓Минимум 40% allocation — Tier B (Euler+Compound+Morpho)
- ✓Ни один листинг LRT без 30-дневного burn-in periода
- ✓Auto-pause при любом Lazarus advisory / bridge exploit
- ✓Weekly scorecard recalc; monthly Euler curated-cluster audit
- ✓Spark как reference benchmark — повторять его риск-move first
Ключевые источники и контроль изменений
Полный sources.md в ~/brain/lending-audit/sources.md · raw JSON в ~/brain/lending-audit/data/
Первичные источники
Aave · github/aave-dao/aave-v3-origin/audits · aave.com/security · governance · rsETH thread
Fluid · docs.fluid.instadapp.io/audits · MixBytes PDFs · Halborn Resolv post-mortem
Morpho · docs.morpho.org/audits · github/morpho-blue/audits · morpho.org/blog
Compound · OZ Compound III · ChainSecurity · Certora FV · DeFiScan
Euler · github/euler-xyz/euler-v2-audits · docs.euler.finance · Cantina
Kelp incident · The Defiant · CoinDesk · Blockworks · Bloomberg · Unchained
Confidence распределение
HIGH · 55MED · 28LOW · 12
По всем 5 протоколам + инциденту.
Verification
Каждый audit engagement — минимум 2 источника (github/аудитор). Каждый инцидент — 2+ независимых источника (DefiLlama + Rekt/post-mortem/пресс). Все цифры TVL — DefiLlama API на 21.04.2026.
Ограничения и disclaimers
Changelog
| Version | Date | Change |
|---|---|---|
| v1.0 | 2026-04-21 12:00 | Initial release (post-Kelp incident) |
| v1.1 | 2026-04-21 12:30 | Supplementary: Umbrella realism -15pt Aave; Sherlock +8pt Euler; Morpho curator caveat; Spark reference; Lazarus campaign context; Arbitrum $71M freeze |
| v1.2 | pending | Post Kelp bad-debt closure + Fluid circuit breaker |
| v2.0 | scheduled | Add economic scope (APY, utilization, tokenomics) |
Кто это пишет
Я Тимур Севостьянов, стратег в DeFi. Управляю портфелями клиентов on-chain, а мониторить позиции и риски мне помогает связка AI-агентов, которая следит за рынком 24/7. Всё, что ты читаешь в этих материалах, часть моей рабочей практики, не теория. Если хочешь, чтобы я посмотрел твой портфель и собрал стратегию под него: что держать, где брать доходность, как защититься от просадки. Напиши мне, это бесплатно.
Хочу стратегию для себяВнутренний research-отчёт. Не является инвестиционной рекомендацией. Internal research · not financial advice.
Scope — security-only: APY, utilization, реальные liquidation dynamics и tokenomics не рассматриваются. Scoring = экспертный рейтинг на основе публичных данных, новые атак-векторы могут возникнуть в любой момент.