Kelp DAO zhakowane na 293 mln dolarów

Protokół ponownego zajmowania płynności Kelp DAO padł ofiarą największego ataku hakerskiego DeFi w 2026 roku. Atakujący ukradł 116 500 $rsETH o wartości 293 milionów dolarów, wykorzystując lukę w zabezpieczeniach kontraktu OFT obsługiwanego przez LayerZero. Zamiast prostej wymiany, haker natychmiast zdeponował skradzione tokeny w Aave (a także w Compound V3 i Euler) i pożyczył czyste WETH/ETH o wartości ponad 236 milionów dolarów.

To wywołało reakcję łańcuchową. Powstanie ogromnego zadłużenia (szacowanego na 177–280 milionów dolarów) w pulach Aave wywołało panikę wśród wielorybów. Według Lookonchain, z protokołu ETH wycofano ponad 5,4 miliarda dolarów aktywów. Wykorzystanie puli WETH osiągnęło 100%, całkowity limit aktywów (TVL) Aave spadł o ponad 6 miliardów dolarów (z ponad 26 miliardów dolarów do około 22 miliardów dolarów), a token $AAVE załamał się o 20% w ciągu 24 godzin.

Jak doszło do włamania

Atak nastąpił o godzinie 17:35 UTC za pośrednictwem sfałszowanej wiadomości międzyłańcuchowej w LayerZero (funkcja lzReceive). Atakujący stworzył fałszywą instrukcję z kontraktu peer (prawdopodobnie na Unichain), powodując, że adapter OFT Kelp DAO wygenerował 116 500 rsETH (18% całego podaży w obiegu) bezpośrednio z depozytu bez żadnego realnego zabezpieczenia.

Nie był to klasyczny błąd inteligentnego kontraktu w samym Kelp, lecz eksploit na poziomie mostu wykorzystujący walidację DVN 1 z 1.

Haker nigdy nie sprzedał rsETH na giełdach zdecentralizowanych. Zamiast tego natychmiast wykorzystał tokeny jako zabezpieczenie w wielu protokołach pożyczkowych i wypłacił prawdziwy ETH. W ciągu zaledwie 46 minut Kelp DAO wstrzymał kontrakty, a dwie kolejne próby hakera (kolejne ~200 milionów dolarów) zostały skutecznie zablokowane.

Reakcje protokołu

• Kelp DAO natychmiast wstrzymało wszystkie kontrakty rsETH w sieci głównej Ethereum i wszystkich L2 (Arbitrum, Base, Scroll itd.). Oficjalne oświadczenie: „Współpracujemy z LayerZero, audytorami i ekspertami ds. bezpieczeństwa w celu analizy przyczyn źródłowych”.
• Aave zamroziło wszystkie rynki rsETH zarówno w wersji 3, jak i 4. Założyciel Stani Kulechov podkreślił: „Samo Aave nie zostało zhakowane — problem polega na tym, że rsETH jest wykorzystywane jako zabezpieczenie”.
• SparkLend, Fluid i Upshift również wprowadziły ograniczenia awaryjne.

Wpływ na rynek

• rsETH na L2 jest teraz narażony na poważne ryzyko depeg, a zaplecze sieci głównej jest zagrożone.
• Łącznie całkowita wartość sprzedaży DeFi spadła o ponad 10 miliardów dolarów z powodu powszechnej paniki.
• To już drugi atak hakerski na kwotę dziewięciocyfrową w ciągu miesiąca (po ataku Drift Protocol na kwotę 285 mln USD). Rok 2026 jest na dobrej drodze, by pobić wszelkie rekordy pod względem wolumenu ataków na DeFi.

Haker zaczął prać pieniądze za pośrednictwem Tornado Cash. Odzyskanie aktywów wydaje się obecnie mało prawdopodobne, chociaż założyciel Tron, Justin Sun, publicznie zaoferował „rozmowę” z atakującym.