Действующее лицо, стоявшее за крупнейшим эксплойтом в DeFi в 2026 году, в итоге потеряло часть похищенных средств после того, как ликвидации протоколов закрыли его позиции.

Как происходили ликвидации

После апрельского эксплойта злоумышленник выпустил необеспеченные rsETH на сумму $293 million и использовал их для вывода ETH из нескольких DeFi-протоколов.

После этих транзакций Aave ликвидировал плечевые позиции злоумышленника, когда кредит примерно на $123 million оказался недостаточно обеспеченным.

Чтобы инициировать ликвидацию, протокол временно скорректировал цену rsETH через свой оракул, что вызвало убытки по позициям злоумышленника на Ethereum и Arbitrum и их автоматическую ликвидацию.

Назначение изъятых активов

Активы, возвращенные в результате ликвидаций, были переведены в Recovery Guardian — фонд, управляемый DeFi United, который специализируется на выплатах пострадавшим пользователям после эксплойтов.

Согласно объявленной процедуре протокола, DeFi United будет удерживать изъятые средства в рамках Recovery Guardian с целью возмещения потерпевшим.

Предыстория атаки

В апреле злоумышленник воспользовался уязвимостью моста в KelpDAO, создав необеспеченные rsETH для извлечения средств из нескольких протоколов.

Последовательность выпуска токенов и выводов привела к ончейн-переводам, что вызвало контрмеры и последующие ликвидации, исполненные Aave.

Инцидент подчеркивает скоординированные реакции участников DeFi и инструменты на уровне протоколов, которые могут вернуть часть средств, полученных в результате эксплойта, посредством корректировок цен и ликвидаций.