292 Εκατομμύρια Δολάρια Χάθηκαν σε 46 Λεπτά: Μέσα στο Kelp DAO DeFi Hack

TLDR

• Η γέφυρα του Kelp DAO που τροφοδοτείται από το LayerZero εκμεταλλεύτηκε το Σάββατο, αποστραγγίζοντας 116.500 rsETH αξίας ~$292 εκατομμυρίων
• Ο επιτιθέμενος εξαπάτησε το επίπεδο μηνυμάτων του LayerZero ώστε να απελευθερώσει κεφάλαια σε μια διεύθυνση που ελέγχεται από τον επιτιθέμενο
• Περίπου $250 εκατομμύρια από τα κλεμμένα κεφάλαια μετατράπηκαν σε ETH· χρησιμοποιήθηκε μια διεύθυνση που χρηματοδοτήθηκε από το Tornado Cash
• Τουλάχιστον εννέα πρωτόκολλα πάγωσαν τις αγορές rsETH, συμπεριλαμβανομένων των Aave, SparkLend και Fluid
• Αυτή είναι πλέον η μεγαλύτερη εκμετάλλευση DeFi του 2026, ξεπερνώντας το hack του Drift Protocol της 1ης Απριλίου

Ένας επιτιθέμενος αποστράγγισε 116.500 rsETH από τη γέφυρα του Kelp DAO που τροφοδοτείται από το LayerZero το Σάββατο στις 17:35 UTC, αρπάζοντας περίπου $292 εκατομμύρια σε κρυπτονομισματικά περιουσιακά στοιχεία.

Το κλεμμένο ποσό αντιπροσωπεύει περίπου το 18% της συνολικής κυκλοφορίας του rsETH που ανέρχεται σε 630.000 tokens, σύμφωνα με δεδομένα από το CoinGecko.

Το Kelp DAO είναι ένα πρωτόκολλο ρευστού restaking. Λαμβάνει ETH που έχουν καταθέσει οι χρήστες, το δρομολογεί μέσω του EigenLayer για να κερδίσει επιπλέον απόδοση και εκδίδει rsETH ως ένα διαπραγματεύσιμο token απόδειξης.

Ο επιτιθέμενος εξαπάτησε το επίπεδο μηνυμάτων cross-chain του LayerZero ώστε να πιστέψει ότι μια έγκυρη εντολή είχε φτάσει από ένα άλλο δίκτυο. Αυτό προκάλεσε τη γέφυρα του Kelp να απελευθερώσει τα κεφάλαια σε ένα πορτοφόλι που ελέγχεται από τον επιτιθέμενο.

Το πολυϋπογραφικό έκτακτης ανάγκης του Kelp παύσε τα βασικά συμβόλαια του πρωτοκόλλου 46 λεπτά μετά την αποστράγγιση, στις 18:21 UTC. Δύο επόμενες προσπάθειες να αποστραγγιστούν άλλα 40.000 rsETH — αξίας περίπου $100 εκατομμυρίων — αποκλείστηκαν και οι δύο.

Τα κλεμμένα κεφάλαια μετακινήθηκαν μέσω μιας διεύθυνσης που χρηματοδοτήθηκε από το Tornado Cash. Περίπου $250 εκατομμύρια από τα κλεμμένα rsETH είχαν ήδη μετατραπεί σε ETH, σύμφωνα με την εταιρεία ασφάλειας blockchain Cyvers.

Οι επιπτώσεις εξαπλώνονται σε όλο το DeFi

Η γέφυρα που αποστραγγίστηκε κρατούσε το απόθεμα που υποστήριζε το wrapped rsETH σε περισσότερα από 20 blockchains, συμπεριλαμβανομένων των Base, Arbitrum, Linea, Blast και Scroll.

Με το απόθεμα αυτό να έχει εξαφανιστεί, οι κάτοχοι rsETH σε δίκτυα layer 2 αντιμετωπίζουν τώρα αβεβαιότητα σχετικά με το αν τα tokens τους υποστηρίζονται πλήρως.

Το Aave πάγωσε τις αγορές rsETH στα V3 και V4 εντός ωρών από την εκμετάλλευση. Το token του Aave έπεσε περίπου 10% καθώς οι αγορές τιμολόγησαν τον κίνδυνο πιθανού επισφαλούς χρέους.

Τα SparkLend και Fluid πάγωσαν επίσης τις αγορές rsETH τους. Η Lido Finance παύσε τις καταθέσεις στο προϊόν earnETH της, το οποίο έχει έκθεση σε rsETH, ενώ διευκρίνισε ότι το βασικό πρωτόκολλο staking της δεν εμπλέκεται.

Η Ethena παύσε τις γέφυρες LayerZero OFT της από το κεντρικό δίκτυο Ethereum ως προληπτικό μέτρο για περίπου έξι ώρες, λέγοντας ότι δεν είχε έκθεση σε rsETH.

Το Kelp δημοσίευσε την πρώτη δημόσια απάντησή του στις 20:10 UTC — σχεδόν τρεις ώρες μετά την επίθεση. Το πρωτόκολλο δήλωσε ότι εργαζόταν με το LayerZero, το Unichain, τους ελεγκτές του και εξωτερικούς ειδικούς ασφαλείας.

Μια δύσκολη περίοδος για το DeFi το 2026

Ο CEO της Cyvers Deddy Lavid δήλωσε ότι το περιστατικό δείχνει τους κινδύνους της συνθεσιμότητας στο DeFi, όπου τα πρωτόκολλα είναι βαθιά συνδεδεμένα.

Το Drift Protocol, μια πλατφόρμα βασισμένη στο Solana, αποστραγγίστηκε κατά περίπου $285 εκατομμύρια την 1η Απριλίου σε μια επίθεση που συνδέεται με δρώντες που συνδέονται με τη Βόρεια Κορέα.

Μικρότερα πρωτόκολλα συμπεριλαμβανομένων των CoW Swap, Zerion, Rhea Finance και Silo Finance έχουν επίσης εκμεταλλευτεί τις τελευταίες εβδομάδες.

Οι συνολικές απώλειες κρυπτονομισμάτων από hacks και απάτες έφτασαν περίπου τα $482 εκατομμύρια στο Q1 2026, σύμφωνα με τη Cyvers.

Η εκμετάλλευση του Kelp DAO στέκεται τώρα ως το μεγαλύτερο DeFi hack του 2026, ξεπερνώντας το Drift κατά αρκετά εκατομμύρια δολάρια.

Το Kelp δεν έχει αποκαλύψει πώς ο επιτιθέμενος παρέκαμψε τη λογική επικύρωσης της γέφυρας μέχρι τη στιγμή της δημοσίευσης.

Η ανάρτηση $292 εκατομμύρια εξαφανίστηκαν σε 46 λεπτά: Μέσα στο Kelp DAO DeFi Hack εμφανίστηκε πρώτα στο CoinCentral.