292 miljonit dollarit kadus 46 minutiga: Kelp DAO DeFi-rünnaku taustal

Kokkuvõte

• Kelp DAO ülesehitatud LayerZero-põhine sild oli reedel rünnatud, varastati 116 500 rsETH ehk umbes 292 miljonit USA dollarit
• Rünnaku teostaja pettis LayerZero sõnumikihi, põhjustades varade väljastamise rünnaku teostaja kontrolli all olevasse aadressi
• Umbes 250 miljonit USA dollarit varastatud vahendeid teisendati ETH-iks; kasutati Tornado Cash’ist finantseeritud aadressi
• Vähemalt üheksa protokolli, sealhulgas Aave, SparkLend ja Fluid, peatasid rsETH turud
• See on nüüd suurim DeFi-rünnak 2026. aastal, ületades 1. aprillil toimunud Drift Protocol’i rünnaku

Rünnaku teostaja võttis reedel kell 17:35 UTC Kelp DAO LayerZero-põhiselt sillalt 116 500 rsETH, kaasa arvatud umbes 292 miljonit USA dollarit krüptoväärtusi.

Varastatud summa moodustab ligikaudu 18% rsETH kogu ringluses olevast pakkumisest (630 000 sümboolt), andmete kohaselt CoinGecko’st.

Kelp DAO on likviidselt ülepanustatav protokoll. See võtab kasutajate poolt sissemakstud ETH-i, suunab selle läbi EigenLayeri täiendava tulu teenimiseks ja väljastab rsETH-i kaubeldava vastuvõtu-tähtena.

Rünnaku teostaja pettis LayerZero ristvõrgu sõnumikihti, tehes selle uskuma, et kehtiv käsk on saabunud teiselt võrgult. Selle tulemusena andis Kelpi sild vahendid välja rünnaku teostaja kontrolli all olevasse rahakotti.

Kelpi hädaabi multisiinikontroll peatas protokolli põhikontraktid 46 minutit pärast varastamist, kell 18:21 UTC. Kahe järgneva katse varastada veel 40 000 rsETH – mis oleks ligikaudu 100 miljonit USA dollarit – blokeeriti mõlemad.

Varastatud vahendid liiguti läbi Tornado Cash’ist finantseeritud aadressi. Blockchaini turvalisusfirma Cyvers andmetel oli juba umbes 250 miljonit USA dollarit varastatud rsETH teisendatud ETH-iks.

Tagajärjed levivad kogu DeFi-süsteemis

Rünnatud sild hoiustas reservi, millele tuginesid rohkem kui 20 blokiahela (sh Base, Arbitrum, Linea, Blast ja Scroll) ümberpandud rsETH-d.

Selle reservi kadumisega seisavad kiht-2 võrgu rsETH-hoijad silmitsi ebakindlusega, kas nende sümbooltid on täielikult tagatud.

Aave peatas rsETH turud V3 ja V4 versioonides rünnaku järel mõne tunni jooksul. Aave sümboolt kukkus umbes 10%, kuna turud hindasid potentsiaalse halva võla riski.

SparkLend ja Fluid peatasid samuti oma rsETH turud. Lido Finance peatas sissemaksed oma earnETH tootesse, millel on rsETH ekspositsioon, samas selgitades, et selle põhiline panustamisprotokoll ei olnud seotud.

Ethena peatas oma LayerZero OFT sildu Ethereum peaühendusest ettevaatusabinõuna umbes kuus tundi, öeldes, et tal ei ole rsETH ekspositsiooni.

Kelp avaldas oma esimese avaliku vastuse kell 20:10 UTC – ligikaudu kolm tundi pärast rünnakut. Protokoll teatas, et koostöös on LayerZero, Unichain, oma auditoreid ja väliste turvalisusespertidega.

Rasked ajad DeFi-le 2026. aastal

Cyversi tegevdirektor Deddy Lavid ütles, et see juhtum näitab DeFi-s kompositsioonilisuse riske, kus protokollid on sügavalt omavahel seotud.

Drift Protocol, Solana-põhine platvorm, varastati 1. aprillil umbes 285 miljonit USA dollarit Põhja-Korea sidumisega tegelaste poolt korraldatud rünnakus.

Hiljuti on rünnatud ka väiksemad protokollid, sealhulgas CoW Swap, Zerion, Rhea Finance ja Silo Finance.

Kokku kaotasid krüptovaluutad rünnakute ja pettuste tõttu esimeses kvartalis 2026 umbes 482 miljonit USA dollarit, andmete kohaselt Cyversilt.

Kelp DAO rünnak on nüüd suurim DeFi-rünnak 2026. aastal, ületades Drifti mitme miljoni dollari võrra.

Kelp ei ole avaldanud, kuidas rünnaku teostaja ületas silla valideerimisloogikat, kuni artikli avaldamiseni.

Postitus „$292 miljonit kadus 46 minutiga: Kelp DAO DeFi-rünnaku sisemine mehhanism“ ilmus esmakordselt CoinCentralis.