৪৬ মিনিটে $২৯২ মিলিয়ন হারিয়ে গেছে: Kelp DAO DeFi হ্যাকের ভেতরের ঘটনা

সংক্ষিপ্ত বিবরণ

• শনিবার Kelp DAO-র LayerZero-চালিত ব্রিজ আক্রমণের শিকার হয়, যেখানে প্রায় $292 মিলিয়ন মূল্যের 116,500 rsETH চুরি হয়ে যায়
• আক্রমণকারী LayerZero-র মেসেজিং লেয়ারকে প্রতারিত করে একটি আক্রমণকারী-নিয়ন্ত্রিত ঠিকানায় তহবিল মুক্ত করায়
• চুরি হওয়া প্রায় $250 মিলিয়ন তহবিল ETH-তে রূপান্তরিত হয়; একটি Tornado Cash-অর্থায়িত ঠিকানা ব্যবহার করা হয়
• Aave, SparkLend এবং Fluid সহ কমপক্ষে নয়টি প্রোটোকল rsETH মার্কেট স্থগিত করেছে
• এটি এখন 2026 সালের বৃহত্তম DeFi আক্রমণ, যা 1 এপ্রিলের Drift Protocol হ্যাককে ছাড়িয়ে গেছে

শনিবার 17:35 UTC সময়ে একজন আক্রমণকারী Kelp DAO-র LayerZero-চালিত ব্রিজ থেকে 116,500 rsETH চুরি করে, যার মূল্য প্রায় $292 মিলিয়ন ক্রিপ্টো সম্পদ।

CoinGecko-র তথ্য অনুযায়ী, চুরি হওয়া পরিমাণ rsETH-র মোট 630,000 টোকেনের সঞ্চালন সরবরাহের প্রায় 18% প্রতিনিধিত্ব করে।

Kelp DAO হল একটি লিকুইড রিস্টেকিং প্রোটোকল। এটি ব্যবহারকারী-জমাকৃত ETH নেয়, অতিরিক্ত ফলন অর্জনের জন্য EigenLayer-র মাধ্যমে পাঠায় এবং একটি ট্রেডযোগ্য রসিদ টোকেন হিসাবে rsETH ইশু করে।

আক্রমণকারী LayerZero-র ক্রস-চেইন মেসেজিং লেয়ারকে বিশ্বাস করায় যে অন্য একটি নেটওয়ার্ক থেকে একটি বৈধ নির্দেশনা এসেছে। এর ফলে Kelp-র ব্রিজ আক্রমণকারী-নিয়ন্ত্রিত ওয়ালেটে তহবিল মুক্ত করে দেয়।

Kelp-র জরুরি মাল্টিসিগ চুরির 46 মিনিট পরে, 18:21 UTC সময়ে প্রোটোকলের মূল চুক্তিগুলি স্থগিত করে। আরও 40,000 rsETH চুরির দুটি পরবর্তী প্রচেষ্টা — যার মূল্য প্রায় $100 মিলিয়ন — উভয়ই ব্লক করা হয়েছিল।

চুরি হওয়া তহবিল একটি Tornado Cash-অর্থায়িত ঠিকানার মাধ্যমে স্থানান্তরিত হয়। ব্লকচেইন নিরাপত্তা সংস্থা Cyvers-র তথ্য অনুযায়ী, চুরি হওয়া rsETH-র প্রায় $250 মিলিয়ন ইতিমধ্যে ETH-তে রূপান্তরিত হয়েছিল।

DeFi জুড়ে প্রভাব ছড়িয়ে পড়ে

যে ব্রিজটি চুরি হয়েছিল তা Base, Arbitrum, Linea, Blast এবং Scroll সহ 20টিরও বেশি ব্লকচেইনে wrapped rsETH-র ব্যাকিং রিজার্ভ ধারণ করেছিল।

সেই রিজার্ভ চলে যাওয়ার সাথে সাথে, লেয়ার 2 নেটওয়ার্কে rsETH-র ধারকরা এখন অনিশ্চয়তার মুখোমুখি যে তাদের টোকেনগুলি সম্পূর্ণভাবে সমর্থিত কিনা।

Aave আক্রমণের কয়েক ঘন্টার মধ্যে V3 এবং V4-তে rsETH মার্কেট স্থগিত করে। সম্ভাব্য খারাপ ঋণের ঝুঁকি বিবেচনা করে বাজার Aave-র টোকেন প্রায় 10% পতন ঘটে।

SparkLend এবং Fluid-ও তাদের rsETH মার্কেট স্থগিত করেছে। Lido Finance তার earnETH পণ্যে জমা বন্ধ রেখেছে, যা rsETH এক্সপোজার বহন করে, যদিও স্পষ্ট করেছে যে এর মূল স্টেকিং প্রোটোকল জড়িত ছিল না।

Ethena সতর্কতা হিসাবে প্রায় ছয় ঘন্টার জন্য Ethereum মেইননেট থেকে তার LayerZero OFT ব্রিজ স্থগিত করেছে, বলেছে যে এর কোনো rsETH এক্সপোজার নেই।

Kelp 20:10 UTC সময়ে তার প্রথম প্রকাশ্য প্রতিক্রিয়া পোস্ট করে — আক্রমণের প্রায় তিন ঘন্টা পরে। প্রোটোকল জানায় যে এটি LayerZero, Unichain, তার অডিটর এবং বাইরের নিরাপত্তা বিশেষজ্ঞদের সাথে কাজ করছে।

2026 সালে DeFi-র জন্য একটি কঠিন সময়

Cyvers-র CEO Deddy Lavid বলেছেন যে ঘটনাটি DeFi-তে কম্পোজেবিলিটির ঝুঁকি প্রদর্শন করে, যেখানে প্রোটোকলগুলি গভীরভাবে সংযুক্ত।

Solana-ভিত্তিক প্ল্যাটফর্ম Drift Protocol 1 এপ্রিল উত্তর কোরিয়া-সম্পর্কিত অভিনেতাদের সাথে যুক্ত একটি আক্রমণে প্রায় $285 মিলিয়ন চুরি হয়েছিল।

CoW Swap, Zerion, Rhea Finance এবং Silo Finance সহ ছোট প্রোটোকলগুলিও সাম্প্রতিক সপ্তাহগুলিতে আক্রমণের শিকার হয়েছে।

Cyvers-র তথ্য অনুযায়ী, 2026 সালের Q1-তে হ্যাক এবং স্ক্যাম থেকে মোট ক্রিপ্টো ক্ষতি প্রায় $482 মিলিয়ন পৌঁছেছে।

Kelp DAO আক্রমণ এখন 2026 সালের বৃহত্তম DeFi হ্যাক হিসাবে দাঁড়িয়েছে, Drift-কে কয়েক মিলিয়ন ডলার ছাড়িয়ে গেছে।

প্রকাশনার সময় পর্যন্ত Kelp প্রকাশ করেনি যে আক্রমণকারী কীভাবে ব্রিজের ভ্যালিডেশন লজিক বাইপাস করেছিল।

$292 Million Gone in 46 Minutes: Inside the Kelp DAO DeFi Hack পোস্টটি প্রথম CoinCentral-এ প্রকাশিত হয়েছিল।