292 de milioane de dolari dispăruți în 46 de minute: În interiorul hack-ului DeFi Kelp DAO

TLDR

• Podul Kelp DAO alimentat de LayerZero a fost exploatat sâmbătă, golind 116.500 rsETH în valoare de ~292 milioane $
• Atacatorul a păcălit nivelul de mesagerie LayerZero să elibereze fonduri către o adresă controlată de atacator
• Aproximativ 250 milioane $ din fondurile furate au fost convertite în ETH; a fost folosită o adresă finanțată de Tornado Cash
• Cel puțin nouă protocoale au înghețat piețele rsETH, inclusiv Aave, SparkLend și Fluid
• Aceasta este acum cea mai mare exploatare DeFi din 2026, depășind hack-ul Drift Protocol din 1 aprilie

Un atacator a golit 116.500 rsETH din podul Kelp DAO alimentat de LayerZero sâmbătă la 17:35 UTC, dispărând cu aproximativ 292 milioane $ în active cripto.

Suma furată reprezintă aproximativ 18% din oferta totală în circulație de 630.000 tokeni rsETH, conform datelor de la CoinGecko.

Kelp DAO este un protocol de restaking lichid. Acesta ia ETH depus de utilizatori, îl direcționează prin EigenLayer pentru a obține randament suplimentar și emite rsETH ca token de chitanță tranzacționabil.

Atacatorul a păcălit nivelul de mesagerie cross-chain LayerZero să creadă că a sosit o instrucțiune validă din altă rețea. Acest lucru a determinat podul Kelp să elibereze fondurile către un portofel controlat de atacator.

Multisig-ul de urgență al Kelp a pus pe pauză contractele de bază ale protocolului la 46 de minute după golire, la 18:21 UTC. Două tentative ulterioare de a goli alte 40.000 rsETH — în valoare de aproximativ 100 milioane $ — au fost ambele blocate.

Fondurile furate au fost mutate printr-o adresă finanțată de Tornado Cash. Aproximativ 250 milioane $ din rsETH furat fuseseră deja convertite în ETH, conform firmei de securitate blockchain Cyvers.

Consecințele se răspândesc în DeFi

Podul care a fost golit deținea rezerva care susținea rsETH învelit pe mai mult de 20 blockchain-uri, inclusiv Base, Arbitrum, Linea, Blast și Scroll.

Cu acea rezervă dispărută, deținătorii de rsETH pe rețelele layer 2 se confruntă acum cu incertitudinea cu privire la dacă tokenii lor sunt complet susținuți.

Aave a înghețat piețele rsETH pe V3 și V4 în câteva ore de la exploatare. Tokenul Aave a scăzut cu aproximativ 10% pe măsură ce piețele au evaluat riscul unor potențiale datorii neperformante.

SparkLend și Fluid și-au înghețat, de asemenea, piețele rsETH. Lido Finance a pus pe pauză depozitele în produsul său earnETH, care are expunere la rsETH, clarificând în același timp că protocolul său principal de staking nu a fost implicat.

Ethena și-a pus pe pauză podurile LayerZero OFT de pe mainnet-ul Ethereum ca măsură de precauție pentru aproximativ șase ore, spunând că nu are expunere la rsETH.

Kelp și-a postat primul răspuns public la 20:10 UTC — aproape trei ore după atac. Protocolul a declarat că lucrează cu LayerZero, Unichain, auditorii săi și specialiști în securitate externi.

O perioadă dificilă pentru DeFi în 2026

CEO-ul Cyvers, Deddy Lavid, a spus că incidentul arată riscurile componibilității în DeFi, unde protocoalele sunt profund conectate.

Drift Protocol, o platformă bazată pe Solana, a fost golită de aproximativ 285 milioane $ pe 1 aprilie într-un atac legat de actori afiliați Coreei de Nord.

Protocoale mai mici, inclusiv CoW Swap, Zerion, Rhea Finance și Silo Finance, au fost, de asemenea, exploatate în ultimele săptămâni.

Pierderile totale cripto din hack-uri și escrocherii au ajuns la aproximativ 482 milioane $ în T1 2026, conform Cyvers.

Exploatarea Kelp DAO se situează acum ca cel mai mare hack DeFi din 2026, depășind Drift cu câteva milioane de dolari.

Kelp nu a dezvăluit cum a ocolit atacatorul logica de validare a podului până la momentul publicării.

Postarea 292 milioane $ dispărute în 46 de minute: În interiorul hack-ului DeFi Kelp DAO a apărut prima dată pe CoinCentral.