ZachXBT upozorňuje na zneužití v KelpDAO v hodnotě přes 280 milionů dolarů, které zasáhlo trhy s půjčkami v rámci DeFi na Ethereu

Hlavní body:

• ZachXBT upozornil na krádež ve výši přes 280 milionů dolarů v protokolech Ethereum a Arbitrum DeFi dne 18. dubna 2026.
• Chyba v procesu ražby tokenu rsETH společnosti KelpDAO způsobila ztráty na platformě Aave V3, přičemž cena tokenu AAVE klesla přibližně o 10–13 %.
• KelpDAO tuto zranitelnost nepotvrdilo; analytici sledují šest identifikovaných peněženek útočníků, aby našli stopy vedoucí k navrácení prostředků.

Zneužití Ethereum DeFi: Útok na rsETH od KelpDAO odčerpal přes 280 milionů dolarů

Vyšetřovatel on-chainu ZachXBT zveřejnil první varování na svém veřejném kanálu Telegram krátce před 15:00 ET, kde uvedl šest adres peněženek spojených s krádeží a poznamenal, že peněženky útočníků byly financovány prostřednictvím Tornado Cash předtím, než k odčerpání došlo. Jeho příspěvek uváděl ztráty přesahující 280 milionů dolarů napříč několika protokoly DeFi, aniž by přímo jmenoval KelpDAO, ale analytici on-chainu spojili tyto adresy během několika hodin.

„Zdá se, že KelpDAO přišlo před hodinou o více než 280 milionů dolarů na Ethereu a Arbitru,“ napsal ZachXBT. „Útočné adresy byly financovány přes Tornado Cash.“

Útok se řídil osvědčeným scénářem. Podle zpráv se zdá, že útočníci zneužili chybu v logice ražby rsETH a vytvořili velký objem likvidního restakingového tokenu, aniž by poskytli odpovídající kolaterál. Tento nafouknutý rsETH byl poté vložen na úvěrové trhy Aave V3 na Ethereu i Arbitru, kde si útočník proti němu vypůjčil značné množství ETH a dalších aktiv.

Jakmile bylo zajištění uznáno za bezcenné, tyto pozice zanechaly Aave s nedobytnými pohledávkami. Odhady komunity ohledně celkových ztrát se pohybovaly od 100 milionů do zhruba 293 milionů dolarů, což při současných cenách odpovídá přibližně 116 500 ETH.

AAVE na tuto zprávu prudce pokleslo. Údaje z trhu ukazují pokles o 10 % až 13 % během několika hodin od prvního varování, protože trh zohlednil potenciální expozici vůči nedobytným pohledávkám napříč úvěrovými fondy protokolu.

Tokeny s likvidním restakingem, jako je rsETH, jsou hluboce zakořeněny v kompozibilitě DeFi. Jsou přijímány jako kolaterál na více úvěrových trzích současně, což znamená, že zneužití ražby může rychle rozšířit ztráty napříč platformami. Incident KelpDAO toto riziko přímo ilustruje.

Peněženky útočníků uvedené ZachXBT vykazovaly velké pozice ETH držené na Aave a Compound. Jedna adresa údajně držela v době odhalení přibližně 120 milionů dolarů v ETH na Aave. Prostředky byly po odčerpání rychle přesunuty.

Využití Tornado Cash k předfinancování operačních peněženek před útokem je standardní taktikou útočníků, kteří se snaží zamaskovat původ. Nejedná se o novou techniku, ale potvrzuje to, že operace byla záměrná a plánovaná.

K 18. dubnu přibližně v 15:00 ET KelpDAO nezveřejnilo žádné oficiální prohlášení ani analýzu. Komunita sledovala účet projektu na X a webové stránky, zda se objeví nějaká reakce, stejně jako kanály správy Aave, zda nedojde k nějakým nouzovým opatřením.

Bezpečnostní firmy zabývající se DeFi, včetně Peckshield, Slowmist a dalších, v době psaní tohoto článku ještě nezveřejnily podrobné rozbory, což odráží, jak rychle se situace vyvinula. ZachXBT nezveřejnil na veřejných kanálech žádný následný příspěvek, ve kterém by konkrétně jmenoval KelpDAO, ale překrývání adres jasně naznačovalo souvislost.

Tento incident je odlišný od zneužití protokolu Drift, o kterém poprvé informoval Bitcoin.com News 1. dubna 2026 a při kterém došlo k odčerpání zhruba 280 milionů dolarů především na Solaně, než byly USDC přes CCTP převedeny na Ethereum. Mechanismy, řetězce a časové osy jsou odlišné.

Komunita doporučila všem, kteří drží rsETH nebo související pozice na Aave, Compound nebo jiných úvěrových trzích, aby zkontrolovali svou expozici, dokud nebude situace vyřešena.

Šest peněženek útočníků identifikovaných ZachXBT zůstává aktivním cílem pro sledování v řetězci, zatímco analytici pracují na zmapování toho, kam se prostředky přesunuly po opuštění Aave.