292 miliony dolarów zniknęły w 46 minut: wewnątrz ataku hakerskiego na Kelp DAO DeFi

TLDR

• Most Kelp DAO oparty na LayerZero został zhakowany w sobotę, wyprowadzając 116 500 rsETH o wartości ~292 mln USD
• Atakujący oszukał warstwę komunikacyjną LayerZero, wymuszając uwolnienie środków na adres kontrolowany przez atakującego
• Około 250 mln USD skradzionych środków zostało przekonwertowanych na ETH; użyto adresu finansowanego przez Tornado Cash
• Co najmniej dziewięć protokołów zamroziło rynki rsETH, w tym Aave, SparkLend i Fluid
• To obecnie największy exploit DeFi w 2026 roku, przewyższający hack Drift Protocol z 1 kwietnia

Atakujący wyprowadził 116 500 rsETH z mostu Kelp DAO opartego na LayerZero w sobotę o 17:35 UTC, zabierając około 292 mln USD w aktywach kryptowalutowych.

Skradziona kwota stanowi około 18% całkowitej podaży w obiegu rsETH wynoszącej 630 000 tokenów, zgodnie z danymi CoinGecko.

Kelp DAO to protokół płynnego restakingu. Przyjmuje zdeponowane przez użytkowników ETH, kieruje je przez EigenLayer w celu uzyskania dodatkowego zysku i emituje rsETH jako zbywalny token pokwitowania.

Atakujący oszukał międzyłańcuchową warstwę komunikacyjną LayerZero, sprawiając, że uwierzyła w otrzymanie poprawnej instrukcji z innej sieci. Spowodowało to uwolnienie środków przez most Kelp do portfela kontrolowanego przez atakującego.

Awaryjny multisig Kelp wstrzymał podstawowe kontrakty protokołu 46 minut po wyprowadzeniu, o 18:21 UTC. Dwie kolejne próby wyprowadzenia kolejnych 40 000 rsETH — o wartości około 100 mln USD — zostały zablokowane.

Skradzione środki zostały przeniesione przez adres finansowany z Tornado Cash. Około 250 mln USD skradzionego rsETH zostało już przekonwertowanych na ETH, według firmy zajmującej się bezpieczeństwem blockchain Cyvers.

Skutki rozprzestrzeniają się w DeFi

Most, który został opróżniony, przechowywał rezerwę zabezpieczającą opakowane rsETH na ponad 20 blockchainach, w tym Base, Arbitrum, Linea, Blast i Scroll.

Wraz z utratą tej rezerwy, posiadacze rsETH w sieciach warstwy 2 stoją teraz w obliczu niepewności, czy ich tokeny są w pełni zabezpieczone.

Aave zamroziło rynki rsETH na V3 i V4 w ciągu kilku godzin od exploitu. Token Aave spadł o około 10%, gdy rynki wyceniły ryzyko potencjalnego złego długu.

SparkLend i Fluid również zamroziły swoje rynki rsETH. Lido Finance wstrzymało depozyty do swojego produktu earnETH, który posiada ekspozycję na rsETH, jednocześnie wyjaśniając, że jego główny protokół stakingu nie był zaangażowany.

Ethena wstrzymała swoje mosty LayerZero OFT z sieci głównej Ethereum jako środek ostrożności na około sześć godzin, informując, że nie ma ekspozycji na rsETH.

Kelp opublikował swoją pierwszą publiczną odpowiedź o 20:10 UTC — prawie trzy godziny po ataku. Protokół poinformował, że współpracuje z LayerZero, Unichain, swoimi audytorami i zewnętrznymi specjalistami ds. bezpieczeństwa.

Trudny okres dla DeFi w 2026 roku

CEO Cyvers Deddy Lavid powiedział, że incydent pokazuje ryzyko kompozycyjności w DeFi, gdzie protokoły są głęboko połączone.

Drift Protocol, platforma oparta na Solana, została opróżniona z około 285 mln USD 1 kwietnia w ataku powiązanym z podmiotami afiliowanymi z Koreą Północną.

Mniejsze protokoły, w tym CoW Swap, Zerion, Rhea Finance i Silo Finance, również zostały zhakowane w ostatnich tygodniach.

Całkowite straty kryptowalutowe z powodu hacków i oszustw osiągnęły około 482 mln USD w I kwartale 2026 roku, według Cyvers.

Exploit Kelp DAO stanowi obecnie największy hack DeFi w 2026 roku, przewyższając Drift o kilka milionów dolarów.

Kelp nie ujawnił, w jaki sposób atakujący ominął logikę walidacji mostu w momencie publikacji.

Post 292 miliony USD zniknęło w 46 minut: Wewnątrz hacka DeFi Kelp DAO ukazał się najpierw na CoinCentral.