18 апреля 2026: внеплановая эмиссия TAKER и взлом KelpDAO за один день
Два моста. Один день. $280 млн убытков и сломанная токеномика целого проекта. 18 апреля 2026 года стало днём, когда кроссчейн-инфраструктура Web3 провалила экзамен на прочность дважды подряд. Через мост Meson первоначальная команда основателей провела внеплановую эмиссию TAKER, размыв предложение токена в обход всех заявленных правил. Параллельно хакер через мост LayerZero вытащил из KelpDAO 116 500 rsETH. Это не совпадение дат. Это системная уязвимость, которую экосистема игнорировала слишком долго. Речь про внеплановая эмиссия TAKER.
Внеплановая эмиссия TAKER: как кроссчейн-мост стал чёрным ходом
Кроссчейн-мост работает просто: блокирует токены на одной цепи, чеканит эквивалент на другой. Вся механика держится на смарт-контракте с правами на минт. Вот где собака зарыта: у этого контракта есть привилегированные ключи, собственная логика валидации и, по сути, ничем не ограниченная возможность создавать новые токены. Это отдельная точка отказа, и в случае с TAKER она сработала именно так, как опасались.
По официальному заявлению Planet Titan от 18 апреля, первоначальная команда основателей TAKER использовала кроссчейн-мост Meson для несанкционированной эмиссии. Не взлом извне. Инсайдерская операция. Люди с легальным доступом к контракту воспользовались тем, что Meson не требует внешнего аудита каждого минта. На моей памяти, инсайдерские атаки всегда били больнее внешних: жертва узнаёт последней.
Тут нюанс. Хронология событий делает ситуацию ещё острее. 17 апреля TAKER листится на HedgerX, открывается спотовая торговля, объявляется конкурс с призовым фондом 20 000 USD. Свежая ликвидность, новые покупатели, растущий объём. Идеальное окно для сброса: напечатай токены через мост, продай их в новый пул, выведи. Судя по экстренному объявлению Planet Titan, именно этот сценарий и разворачивался.
Меня удивляет, что Meson до сих пор работает без обязательной внешней валидации крупных минтов. Возможно, после 18 апреля ситуация изменится, но факт остаётся фактом: архитектура моста позволила инсайдерам действовать без единого красного флага на уровне протокола.
KelpDAO и LayerZero: 46 минут, которые стоили $280 млн
Атака на KelpDAO развивалась по другому вектору, но корневая проблема та же: контракт моста с правами на чеканку. Хакер вызвал функцию lzReceive на EndpointV2 моста LayerZero. Через OFT-контракт он вытащил 116 500 rsETH и конвертировал их в ETH и wETH через Aave V3 и V4. По данным ZachXBT, команда KelpDAO реагировала 46 минут. За это время хакер успел переместить большую часть средств.
46 минут. Для обычного бизнеса это ничто. Для ончейн-атаки это вечность. Контракты Aave пришлось заморозить реактивно, уже после утечки активов. rsETH-маркеты на Aave V3 и V4 встали.
А теперь к сути. Planet Titan действовала иначе. Экстренный план запустили мгновенно: торги заморожены, экосистема переведена в режим технического обслуживания, начаты переговоры с первоначальной командой TAKER. Дамп остановили до того, как несанкционированно выпущенные токены попали на открытый рынок.
Разница между двумя ситуациями: наличие или отсутствие дежурной операционной команды с полномочиями на мгновенную блокировку. Децентрализованный протокол без такого штаба в 02:00 SGT субботней ночи оставляет хакеру 46 минут свободной работы. Проект с живой командой закрывает дыру до начала паники. Скорее всего, после 18 апреля индустрия пересмотрит отношение к операционной готовности, но цена этого урока оказалась слишком высокой.
Письмо Джеки из Сингапура: кризисная коммуникация за 24 часа
Основатель UniLive Джеки опубликовал открытое письмо ночью 18 апреля. Без пресс-релизного языка. Прямым текстом: пользователи не виноваты, ошибка на стороне третьих лиц, запущен юридический процесс привлечения к ответственности.
Кстати. Кризисные коммуникации в крипте я встречал десятки раз, и обычно паттерн один: два дня тишины, пост «мы изучаем ситуацию», потом компенсационный план на полтора года. Здесь получилось иначе. Объявление об инциденте, план восстановления и личное письмо основателя уложились в 24 часа. Сам по себе этот факт ничего не гарантирует, но скорость реакции зафиксирована ончейн и публично.
За словами стоит конкретное расписание:
- 21 апреля: оплата вычислительных мощностей переходит исключительно на TAKER-токены, создавая постоянный спрос
- 22 апреля: замена смарт-контракта с автоматическим свапом 1:1 для всех держателей
- 23 апреля: механизм сжигания с верификацией в реальном времени через блокчейн
Три даты. Каждая проверяема. По-моему, наличие календаря с конкретными числами отличает план восстановления от обещаний. Но до 23 апреля судить рано: расписание становится фактом только после исполнения.
Хардфорк контракта: зачем менять код, если «код это закон»
Замена смарт-контракта пугает тех, кто привык к нарративу неизменяемости. На практике это единственный способ физически уничтожить уязвимость, которую создал злонамеренный инсайдер с доступом к минту через Meson.
Ещё одна деталь. Схема от Planet Titan устроена прямолинейно: старый TAKER меняется на новый в соотношении 1:1. Балансы переносятся автоматически. Новый контракт запускается с механизмом сжигания и поддержкой ончейн-верификации. Держатели не теряют токены. Уязвимость, которую эксплуатировали через Meson, перестаёт существовать на уровне кода.
Если хотите разобраться, как работает вывод активов при замене контракта, механика подробно описана в отдельном материале: как работает вывод средств через смарт-контракт если сайт закрылся. Логика применима и к текущей ситуации с TAKER.
В случае KelpDAO контракты Aave замораживали уже после утечки. Это реактивное тушение пожара. Planet Titan провела упреждающую блокировку и запланировала хирургическую замену контракта до того, как рынок ушёл в панику. Разница между двумя подходами измеряется сотнями миллионов долларов.
Мосты как вектор атаки: сравнение инцидентов 18 апреля
Оба инцидента 18 апреля объединяет один паттерн: контракт с правами на минт без достаточного мониторинга входящих сообщений, помноженный на задержку или отсутствие немедленной реакции. Разница в том, что KelpDAO атаковали извне, а TAKER пострадал от инсайдеров с легальным доступом к бриджу.
| Параметр | KelpDAO (LayerZero OFT) | TAKER (Meson) |
|---|---|---|
| Дата | 18 апреля 2026 | 18 апреля 2026 |
| Тип атаки | Эксплойт lzReceive на EndpointV2 | Инсайдерский минт через кроссчейн-мост |
| Объём потерь | $280+ млн (116 500 rsETH) | Токеномика проекта (дамп купирован) |
| Время реакции команды | 46 минут | Мгновенная блокировка |
| Последствия для DeFi-протоколов | Заморозка rsETH-маркетов на Aave V3 и V4 | Экосистема в режиме техобслуживания |
| План восстановления | На момент публикации не опубликован | Хардфорк контракта, сжигание, дефляционный спрос |
Странно, что индустрия продолжает строить мосты по одной и той же схеме: контракт с неограниченным правом минта, мультисиг на три из пяти ключей, мониторинг «по желанию». Два инцидента за один день должны были бы стать достаточным сигналом для пересмотра стандартов. Посмотрим, случится ли это.
Откуда берётся доход, если токеномика атакована
Для держателей TAKER в стейкинге через Planet Titan: механика выплат не изменилась. Начисления идут из активности экосистемы, подписок на вычислительные мощности и торговых комиссий. Инсайдерская эмиссия через Meson не затронула пул выплат напрямую, потому что дамп был остановлен до попадания токенов на рынок.
Смотри дальше. С 21 апреля подписки на computing power принимаются только в TAKER. Это создаёт постоянный дефляционный спрос, который частично компенсирует инфляционное давление от несанкционированного минта. С 23 апреля добавляется сжигание с ончейн-верификацией: каждый сожжённый токен проверяем, каждое начисление прозрачно.
Если хотите понять структуру выплат Planet Titan с реальными цифрами, разбор модели 1.5% в день даёт развёрнутую картину. Там же видно, в какой категории риска и доходности работает проект.
Следите за обновлениями начислений и правил платформы: начисления UniMex и обязательный платёж Planet Titan.
Доверие после инсайдерской атаки: что именно оценивает рынок
Инсайдерские атаки случались у проектов, которые впоследствии восстанавливались и росли. Рынок оценивает не сам факт инцидента, а три вещи: скорость реакции, прозрачность коммуникации, конкретность плана восстановления.
По TAKER реакция задокументирована: мгновенная блокировка торгов, публичное объявление с деталями, юридический процесс против виновных, расписание хардфорка с тремя датами. Не идеально: идеально было бы предотвратить эмиссию на уровне контракта. Но в сравнении с KelpDAO, где 46 минут без реакции превратились в $280 млн потерь, разница критическая.
Одна штука важна. Хардфорк контракта 22 апреля покажет, способна ли команда выполнить обещания в заявленные сроки. Это будет первая проверяемая точка. Если свап 1:1 пройдёт гладко и без потерь для держателей, уровень доверия к операционной команде Planet Titan получит ончейн-подтверждение. Если нет, никакое письмо основателя не компенсирует срыв дедлайна.
Уроки 18 апреля: что изменилось для всей индустрии мостов
Два инцидента за один день обнажили набор проблем, которые до 18 апреля считались теоретическими:
- Мост с правами на минт без внешней валидации крупных операций - это не инфраструктура, а бэкдор
- Отсутствие дежурной команды с полномочиями на мгновенную блокировку делает децентрализованный протокол уязвимее централизованного сервиса
- Инсайдерский доступ к мосту опаснее внешнего эксплойта: протокол не может защититься от собственных привилегированных ключей стандартными средствами
- Скорость кризисной коммуникации не менее важна, чем скорость технической реакции: рынок паникует от тишины, а не от инцидента
Возможно, после 18 апреля стандартом станет обязательный мониторинг минтов в реальном времени с пороговыми алертами. Сейчас это выглядит как роскошь. Завтра это будет базовым требованием для любого проекта, использующего кроссчейн-мосты.
Без этого не поймёшь. Вся ситуация с TAKER показала парадоксальную вещь: проект, пострадавший от инсайдерской атаки, оказался в лучшем положении, чем протокол, пострадавший от внешнего хакера. Причина одна: операционная готовность. Дежурный мониторинг, план реагирования, живая команда с полномочиями. Это не противоречит духу Web3. Это просто работает.
Материал подготовлен на основе официальных заявлений Planet Titan и данных исследователя ZachXBT от 18-19 апреля 2026 года. Криптовалютные активы подвержены высокой волатильности. Потеря части или всех инвестированных средств возможна. Информация в статье отражает аналитическую оценку автора и не является рекомендацией к покупке, продаже или удержанию каких-либо активов. Принимайте решения самостоятельно и оценивайте собственную толерантность к риску.
Что будет со старыми токенами TAKER после хардфорка 22 апреля?
Старый контракт заменяется новым. Балансы переносятся автоматически 1:1. Уязвимость минта через Meson ликвидируется на уровне кода. Держателям не нужно совершать никаких действий вручную: свап происходит по данным баланса в блокчейне. Единственное, за чем стоит следить, это подтверждение успешного переноса баланса после 22 апреля.
Могут ли подобные инсайдерские атаки через мосты повториться у других проектов?
Да, если мост использует контракт с привилегированными ключами на минт без внешней валидации и порогового мониторинга.
Как проверить, что механизм сжигания TAKER после 23 апреля реально работает?
Planet Titan заявила о запуске ончейн-верификации сжигания. На практике это означает, что каждая операция burn будет записана в блокчейн и доступна для проверки через эксплорер. Ищите транзакции с вызовом функции burn на адресе нового контракта. Если данные не появятся к заявленной дате, это красный флаг.
Что я делаю сам
После 18 апреля я перераспределил активы: приоритет отдаю экосистемам с дежурной операционной командой и публичным планом реагирования на инциденты. Чисто децентрализованные протоколы без дежурного мониторинга сократил до минимума. Слежу за хардфорком TAKER 22 апреля как за точкой, которая покажет, выполняет ли Planet Titan обещания в срок. Регистрация в экосистеме UniLive доступна с реферальным кодом iTGZf4, актуальный статус обновлений можно проверить в апрельском спринте UniLive.
Раскрытие: Статья содержит реферальную ссылку. При регистрации по ней автор может получить вознаграждение. Это не влияет на объективность материала.