Спотовые ETF на Ethereum ($ETH) в последние дни привлекают больше средств, чем фонды на Bitcoin ($BTC). По данным SoSoValue Crypto, 21 апреля чистый приток в продукты на ETH превысил 43 млн долларов, продлив серию положительных потоков до девяти дней подряд. Лидером стал фонд BlackRock ETHA, который привлёк около 37 млн долларов. Bitcoin-ETF зафиксировали более скромный приток — 11,84 млн долларов, продолжив серию из шести дней.

В блокчейне зафиксирован перевод 119"999"999 USDC (119"960"999 долларов) с адресов Paxos на неизвестный кошелёк.

В ончейн-DeFi произошёл очередной инцидент на сотни миллионов долларов. 18 апреля злоумышленник воспользовался конфигурацией маршрутизации LayerZero в Kelp DAO: из-за схемы 1 из 1 DVN (без опциональных верификаторов) он смог подделать кроссчейн-сообщения и заставить контракт ошибочно высвободить 116,500 rsETH. Для Aave это вылилось в риск безнадёжной задолженности в диапазоне примерно от 123,7 млн до 230,1 млн долларов — в зависимости от того, как распределяются потери. По масштабу это крупнейший DeFi-инцидент с 2026 года. Важнее другое: он разрушил укоренившееся допущение, будто эффективность, ликвидность и доходность можно незаметно «купить», опираясь на безопасность небольшой группы доверенных промежуточных слоёв. I. Что именно сломалось в механизме "децентрализации" Свести историю Kelp DAO к рядовому взлому смарт-контракта — значит недооценить системный сигнал для DeFi. Kelp DAO как liquid restaking-протокол в экосистеме Ethereum принимает ETH и выпускает rsETH — квитанционный токен. Он обращается в мейннете и упакован в стандарт LayerZero OFT, развернут более чем на 20 сетях, включая Base, Arbitrum, Linea, Blast, Mantle и Scroll. Экономика конструкции проста: весь резерв ETH находится в кроссчейн-контракте на Ethereum mainnet, а rsETH в других сетях — по сути, купоны на погашение из мейннет-резерва. Корректность системы держится на непрерывном паритете: объём заблокированного в мейннете должен всегда быть не меньше объёма, отчеканенного в L2 и других сетях. Атакующий ударил по этому базовому ограничению. Он сформировал «валидное» на вид кроссчейн-сообщение LayerZero, убедив мейннет-бридж-контракт, что это корректная команда на погашение из другой сети, после чего контракт выпустил 116,500 rsETH. Ключ к проблеме — настройка верификации LayerZero. В Kelp DAO применялась схема 1/1 DVN: подписи одного валидатора достаточно, чтобы одобрить кроссчейн-сообщение. При этом LayerZero в официальных рекомендациях предлагает 2/2 либо конфигурации с избыточностью через нескольких валидаторов. Риск модели 1/1 исследователи безопасности публично отмечали ещё в январе 2025 года, но в течение 15 месяцев он так и не был устранён. Поэтому инцидент не сводится к «взломали мост» или «подвели риск-процедуры протокола». Он выявил две наложившиеся единые точки отказа. Первая — единая точка верификации. DVN задумывался как составная модель безопасности X из Y из N, позволяющая наращивать надёжность независимыми проверками. В Kelp DAO легитимность сообщения фактически свели к предположению: «единственный узел верификации не ошибётся и не будет скомпрометирован». Вторая — единая точка резерва. Если пробивается пул резерва в мейннете, rsETH в остальных сетях мгновенно перестаёт быть кроссчейн-активом и проявляет природу IOU, полностью завязанного на один мейннет-якорь. Когда «единая точка верификации» совпадает с «единой точкой резерва», риск перестаёт быть локальным и распространяется по линиям композиционности DeFi. Именно поэтому Aave оперативно заморозила рынки rsETH/wrsETH в нескольких сетях, скорректировала модель процентных ставок WETH и дополнительно заморозила ряд рынков WETH, чтобы не допустить переноса стресса на другие активы. Сам Aave не взламывали, но искажение стоимости залога, сбои в ликвидациях и заёмщики, балансирующие у порога ликвидации, в итоге сформировали для протокола существенный риск bad debt. Если смотреть шире, логика «передать безопасность в одну точку» характерна не только для мостов и валидаторов. Она скрыта там, с чем пользователь сталкивается каждый день, но почти не обсуждает напрямую: в интерфейсе. II. От "самостоятельного хранения" к "проверяемому взаимодействию" В Web3 давно повторяют: Don't trust, verify. В интерпретации Ethereum это означает, что, запуская собственную ноду, вы не обязаны верить чужим утверждениям — вы проверяете данные самостоятельно, не делегируя истину централизованным поставщикам. Тот же принцип должен работать и при взаимодействии с кошельками и DeFi. Некостодиальные кошельки вроде imToken — это инструмент доступа к аккаунту: окно, через которое вы видите активы, отправляете транзакции и подключаетесь к приложениям. Кошелёк не хранит ваши средства и не контролирует приватные ключи. Отрасль всё больше ценит self-custody, и всё больше пользователей понимают: децентрализация — это не просто «активы на блокчейне», а прямой контроль пользователей над этими активами. Проблема в другом: усиливая акцент на самоконтроле на уровне активов, индустрия по умолчанию оставила незаметный аутсорсинг на уровне взаимодействия — доверие фронтенду, который интерпретирует смысл транзакций, прогнозирует результат вызовов и определяет, «что именно вы подписываете». Главный недооценённый риск современного DeFi звучит просто: подписал ли пользователь именно ту транзакцию, которую он считал, что подписывает? В реальной ончейн-рутинe пользователь почти никогда не взаимодействует с цепочкой напрямую. Перед ним — слои оболочек: веб-интерфейсы DApp, всплывающие окна кошельков, маршрутизация агрегаторов. В перспективе добавятся вызовы, сгенерированные агентами, и подтверждения результатов, где вам будут говорить: "Вы вносите 100 ETH в стратегию", "Вы получаете такую-то годовую доходность" или "Это стандартное разрешение". При этом большинство пользователей не способны самостоятельно проверить, совпадает ли calldata, который подписывается, транслируется и исполняется ончейн, с описанием во фронтенде. Отсюда и повторяющиеся инциденты — подмена фронтенда, подстановка адресов, мошенническая имитация approvals. На поверхности это разные истории, в основе — одно: подписываемое действие не всегда совпадает с тем, что пользователь думает, что подписывает. В этом смысле Kelp DAO подсветил не только узкое место верификации в мостовом маршруте. Он также напомнил о другом системном факте: во многих ончейн-сценариях интерфейс остаётся «по умолчанию доверенным», но почти никогда не проверяемым единым узлом отказа. Нажимая "Confirm", пользователь фактически ставит на то, что интерфейс не искажает смысл вызова. Отсюда появляется концепция "Verifiable UI" — «проверяемого интерфейса». Речь не о красоте фронтенда и не о том, чтобы упростить попапы подписи. Цель — связать то, что показано в интерфейсе, с тем, что будет исполнено ончейн, так, чтобы эту связь мог проверить пользователь, валидировать кошелёк и позже проаудировать. Практически это означает следующее: перед подписью кошелёк не должен ограничиваться показом шестнадцатеричных данных или описанием, полностью сгенерированным фронтендом. Он должен реконструировать calldata в человекочитаемые, семантически ясные действия. Каждый шаг, описанный интерфейсом, должен иметь ончейн-проверяемое основание, а не опираться на логику «пользователь поверил — значит, верно». Тогда разрыв между тем, что вы думаете, что делаете, и тем, что реально происходит ончейн, начнёт закрываться. С точки зрения сегодняшнего DeFi проверяемость интерфейса всё ещё сильно недооценена. Если же смотреть на горизонт чуть дальше, она быстро перестанет быть «полезным улучшением безопасности» и станет базовой возможностью, которую нельзя откладывать. Причина — незаметная, но фундаментальная миграция пользовательских путей в Ethereum. III. Почему "Verifiable UI" станет новой границей безопасности Если инцидент Kelp DAO вскрыл хроническую проблему единых точек доверия в архитектурах старого DeFi, то "Verifiable UI" соответствует новой фазе, которая уже началась. Карта UX в экосистеме Ethereum явно фиксирует болевые точки ончейн-взаимодействий: ясность транзакций (Transaction Clarity), кроссчейн-потоки (Crosschain Flow), безопасность (Safety & Security). Слепые подписи, усталость от подписаний, трение при бриджинге, фрагментация активов знакомы почти каждому опытному пользователю. Вывод здесь не в том, что пользователям нужно больше обучения. В ончейн-мире UX и безопасность никогда не были разными вещами. Часто именно непонимание происходящего и есть крупнейший риск. По мере смены парадигмы с «пользователь кликает шаг за шагом в DApp» на «пользователь формулирует намерение, система исполняет автоматически» проблема будет только усиливаться. В эпоху классического фронтенда человек хотя бы видел кнопки, страницы и окна авторизаций. Даже без полного понимания оставалось ощущение процесса: «я делаю несколько шагов», «это approval или перевод», «я бриджу или депонирую средства». В эпоху агентов этот видимый пошаговый слой резко сожмётся. Пользователь больше не будет по отдельности открывать Router, Bridge, Vault и Lending Market для подтверждения каждого действия. Он скажет AI-кошельку: "Переведи мой ETH в более стабильную доходную стратегию", "Сделай бридж на Base, контролируя максимальный slippage" или "Разреши этому агенту тратить не больше 100 USDT в течение 24 часов" — и дождётся статуса "выполнено". Эффективность вырастет, но параметры маршрутов, разрешения, последовательности исполнения и промежуточные операции всё чаще будут скрыты от глаз. На этом фоне imToken обозначил два параллельных вектора. Первый — дальнейшее развитие intent-based взаимодействия, где пользователь сообщает "что хочу", а система находит путь и исполняет. Второй — движение к "Unified & Verifiable UI", где тезис "интерфейс тоже является поверхностью атаки" поднимается до уровня долгосрочного продуктового принципа. Это подчёркивает и смену роли кошелька следующего поколения. Раньше кошелёк был инструментом подписи, передающим подтверждение пользователя в блокчейн. С вовлечением агентов кошелёк должен стать последним детерминированным контрольным пунктом перед исполнением. AI может понимать запрос, предлагать решения и строить маршрут, но кошелёк обязан превращать вероятностный вывод модели в детерминированное исполняемое содержание, которое пользователь способен проверить, система — валидировать, а правила — принудительно ограничить. В этом смысле "Verifiable UI" — не про «более продвинутый дизайн». Это новая модель безопасности взаимодействий и недостающий элемент, который некостодиальные кошельки почти неизбежно должны добавить, переходя в следующий этап. Индустрия давно повторяет: "Not your keys, not your coins". В мире intent-driven действий и исполнения через агентов требуется ещё одна формула: ваш интерфейс тоже должен быть интерфейсом, который вы можете проверить. Вывод После атаки на Kelp DAO рынок быстро переключился на обсуждение конфигураций DVN, управления рисками LRT, мостовых маршрутов и оценки единых точек отказа. Всё это важно. Но если инцидент на сотни миллионов долларов свести к упрощённому "кто не поставил достаточно подписей в мультисиге", значит его не поняли по-настоящему. Многие ончейн-продукты по-прежнему опираются на единые точки отказа, которых пользователь не видит и не может проверить, даже когда именно они обеспечивают «эффективность, ликвидность и доходность». Децентрализация — не противоположность эффективности. Это базовый уровень безопасности. Эпоха, когда безопасность строилась на допущениях об одной точке доверия, должна закончиться.

BlackRock, Mastercard, Gemini и Ripple завершили испытания схемы, в которой регулируемый стейблкоин используется для расчётов по карточным платежам в сети XRP Ledger. Тест стал очередным сигналом того, что крупные игроки традиционного финансового сектора переходят от наблюдения за блокчейном к практическому внедрению. В центре пилота находился RLUSD — стейблкоин, рассчитанный на то, чтобы банки могли проводить платежи быстрее и прозрачнее, чем в действующих инфраструктурах. О деталях проекта на отраслевом форуме в Лондоне рассказала представитель Ripple Оделия Тортеман. По её словам, хотя XRP часто воспринимают как актив для торговли, такие компании, как BlackRock и Franklin Templeton, рассматривают сам реестр как инструмент для институциональных финансов. XRP Ledger изначально создавался под трансграничные операции и одновременное перемещение разных типов активов; в сети предусмотрены встроенная децентрализованная биржа и автоматизированный маркетмейкер, что позволяет крупным компаниям обменивать активы и перемещать стоимость с меньшей зависимостью от традиционных посредников. В сентябре прошлого года Franklin Templeton совместно с Ripple и DBS Bank представили новые механики кредитования и торговли, используя токенизированные фонды денежного рынка для повышения ликвидности. Комбинируя такие токены с регулируемыми стейблкоинами, участники рассчитывают ускорить оборот капитала, сохранив соответствие нормативным требованиям. Этот подход, как отмечается, должен повысить доверие крупных инвесторов, которые часто настороженно относятся к волатильности широкого крипторынка. По данным из отраслевых сообщений, технология распространяется и на сегмент казначейских продуктов. Ripple совместно с Securitize разработала модель, при которой инвесторы фонда BlackRock BUIDL могут конвертировать свои доли в RLUSD. Механизм на базе смарт-контрактов обеспечивает круглосуточную ликвидность: обычно вывод средств из подобных фондов занимает время и доступен в рамках банковских часов, тогда как новая схема предполагает постоянный доступ к капиталу. Также отмечается, что XRP Ledger позиционируется как один из основных вариантов для компаний, которым требуется соответствие строгим стандартам идентификации и комплаенса. В сети используются "trust lines" и специализированные инструменты для выполнения процедур know-your-customer. На этом фоне меняется и практическая роль XRP: если раньше монета чаще применялась розничными трейдерами для спекуляций на биржах, то теперь она всё чаще рассматривается как технический источник ликвидности. В качестве цифрового актива XRP выступает посредником для банков и помогает проводить расчёты в разных формах стоимости по всему миру за считанные секунды. Источник изображения: The Wall Street Experience; график: TradingView.

Кризис безопасности в децентрализованных финансах (DeFi) усиливается: очередной жертвой стал Volo Protocol, работающий в сети Sui. Платформа предлагает пользователям размещать активы в доходных "хранилищах" (vaults) — пуловых инструментах, где депозиты в биткоине, стейблкоинах и токенизированных активах задействуются в различных ончейн-стратегиях для получения доходности. Рано утром в среду Volo Protocol подтвердил инцидент безопасности: из трех хранилищ было выведено цифровых активов примерно на $3,5 млн. В сообщении в X команда заявила, что остальные хранилища не пострадали. По ее оценке, около $28 млн TVL в прочих vaults находятся в безопасности, а эксплойт затронул только три конкретных пула; также подтверждено отсутствие общего вектора атаки с остальными хранилищами. Протокол добавил, что готов "взять убыток на себя" и не перекладывать его на пользователей. Атака затронула хранилища с wrapped bitcoin (WBTC), токенизированным золотом Matridock — XAUm, а также долларовым стейблкоином USDC. В ответ Volo заморозил все хранилища и начал совместную работу с Sui Foundation и ончейн-исследователями, чтобы локализовать ущерб и отследить движение средств. По данным команды, после инцидента через координацию с партнерами экосистемы удалось "заморозить" $500 000 — эти активы были обездвижены в ончейне, чтобы исключить их перемещение или вывод. Большая часть похищенных средств остается предметом расследования. Случай Volo усиливает тревогу на рынке DeFi на фоне серии эксплойтов, которые вновь ставят под вопрос надежность смарт-контрактов и качество контроля в протоколах. Ситуация обостряется из-за близости по времени к недавней атаке на KelpDAO: на выходных злоумышленник вывел миллионы, искусственно выпустив необеспеченные liquid restaking токены rsETH. Последствия затронули сразу несколько протоколов, включая крупнейшую кредитную платформу Aave, где пользователи начали массово выводить средства на фоне неопределенности. Суммарный ущерб DeFi от взломов на сегодняшний день оценивается примерно в $7,78 млрд, следует из данных DeFiLlama. Отдельно потери bridge-протоколов, обеспечивающих перенос активов между блокчейнами, составляют еще $2,90 млрд. В совокупности показатель превышает $10 млрд — величина сопоставима с рыночной капитализацией криптоактивов, занимающих места примерно с 10-го по 15-е в мировом рейтинге. Volo Protocol сообщил, что опубликует полный отчет (postmortem) после завершения расследования и утверждения мер по устранению уязвимостей. Для пользователей и инвесторов DeFi все отчетливее выглядит общая тенденция: институциональный интерес растет, но заметная часть капитала по-прежнему не идет на усиление безопасности, а эксплойты продолжают происходить волнами. Подробнее: Потери DeFi на $13 млрд за два дня — и все началось с атаки на KelpDAO

Кит 0xD91D создал новый кошелёк (0xEb2a) и разместил 9"500 $wstETH в #Spark. После этого он занял 9"500 $ETH ($22.68M), перевёл средства на #Binance для продажи и вывел с Binance $USDE, чтобы погасить займы на #Aave.

Как сообщает Cointelegraph, протокол конфиденциальности Umbra перевёл свой веб-фронтенд в режим обслуживания, чтобы злоумышленники не могли использовать сервис для перемещения около $800 000 похищенных средств. В Umbra подчеркнули, что протокол скрывает только личность получателя, а сами переводы остаются отслеживаемыми. Решение принято на фоне взлома протокола Kelp, из-за которого потери превысили $280 млн. По данным источников, атакующие пытались перевести средства с Ethereum в Bitcoin через мосты, используя в том числе такие решения, как Umbra. Umbra заявила, что вернёт доступ к размещённому ею фронтенду после того, как убедится, что его отключение не мешает попыткам вернуть средства. При этом компания отмечает, что не может помешать использованию её смарт-контрактов или open-source фронтенда третьими сторонами.

По данным @EmberCN, отток средств из Aave продолжается: за три с половиной дня платформу покинуло $15,1 млрд. Совокупный объём депозитов сократился с $48,5 млрд до $30,7 млрд — примерно на треть капитала. На других крупных кредитных площадках динамика неоднородна. У Morpho общий объём депозитов снизился с $11,7 млрд до $10,2 млрд после инцидента с rsETH, что соответствует оттоку $1,5 млрд. В то же время у Spark показатель TVL в SparkLend вырос с $1,9 млрд до $3,2 млрд, обеспечив приток $1,3 млрд.

SoFi Crypto добавила возможность пополнения в XRP, расширив линейку цифровых активов на платформе. Пользователи почти сразу обратили внимание на ограничения сервиса: вывод средств на внешние кошельки сейчас недоступен. Критики считают, что из-за этого владение криптовалютой фактически сводится к управляемому финансовому продукту. По данным The Block, в SoFi заявили, что функция вывода может появиться позднее.