En hacker udnyttede angiveligt en fejl i udstedelsen af KelpDAOs rsETH-token til likvid restaking den 18. april 2026 og stjal dermed anslået 280 millioner dollars eller mere på tværs af Ethereum og Arbitrum.
ZachXBT advarer om et KelpDAO-sikkerhedshul på over 280 millioner dollar, der rammer Ethereums DeFi-lånemarkeder
SKREVET AF
DEL
Hovedpunkter:
- ZachXBT påpegede et tyveri på over 280 millioner dollars på tværs af Ethereum- og Arbitrum DeFi-protokoller den 18. april 2026.
- KelpDAOs rsETH-mintingfejl skabte dårlig gæld på Aave V3, hvor AAVE-token faldt med ca. 10-13 %.
- KelpDAO har ikke bekræftet udnyttelsen; analytikere overvåger seks identificerede angriber-wallets for spor, der kan føre til genopretning.
Ethereum DeFi-udnyttelse: KelpDAO rsETH-angreb dræner over 280 millioner dollar
Onchain-efterforskeren ZachXBT offentliggjorde den første advarsel på sin offentlige Telegram-kanal kort før kl. 15.00 ET, hvor han opregnede seks tegnebogsadresser knyttet til tyveriet og bemærkede, at angriberens tegnebøger blev finansieret via Tornado Cash, før dræningen begyndte. Hans indlæg nævnte tab på over 280 millioner dollars på tværs af flere DeFi-protokoller uden direkte at nævne KelpDAO, men onchain–analytikere koblede adresserne sammen inden for få timer.
"KelpDAO ser ud til at have fået stjålet over 280 millioner dollars for en time siden på Ethereum og Arbitrum," skrev ZachXBT. "Angrebsadresserne blev finansieret via Tornado Cash."
Angrebet fulgte en velkendt fremgangsmåde. Ifølge rapporter ser det ud til, at angriberne har udnyttet en fejl i rsETH's minting-logik og skabt et stort volumen af det likvide restaking-token uden at stille passende sikkerhed. Det oppustede rsETH blev derefter deponeret på Aave V3-lånemarkederne på både Ethereum og Arbitrum, hvor angriberen lånte betydelige beløb i ETH og andre aktiver mod det.
Da sikkerheden blev erkendt som værdiløs, efterlod disse positioner Aave med dårlig gæld. Fællesskabets skøn over de samlede tab varierede fra 100 millioner dollars til cirka 293 millioner dollars, svarende til cirka 116.500 ETH til aktuelle priser.
AAVE faldt kraftigt på nyheden. Markedsdata viser et fald på mellem 10 % og 13 % inden for få timer efter den første alarm, da markedet vurderede den potentielle eksponering for dårlige gældsposter på tværs af protokollens udlånspuljer.
Liquid restaking-tokens som rsETH ligger dybt inde i DeFi-komponerbarheden. De accepteres som sikkerhed på flere udlånsmarkeder samtidigt, hvilket betyder, at et udnyttelsesangreb kan sprede tab hurtigt på tværs af platforme. KelpDAO-hændelsen illustrerer denne risiko direkte.
Angriberens tegnebøger, som ZachXBT har opført, viste store ETH-positioner på Aave og Compound. En enkelt adresse havde angiveligt ca. 120 millioner dollars i ETH på Aave på tidspunktet for opdagelsen. Midlerne blev flyttet hurtigt efter dræningen.
Brugen af Tornado Cash til at forfinansiere operationelle tegnebøger før angrebet er en standardtaktik for angribere, der forsøger at skjule oprindelsen. Det indikerer ikke en ny teknik, men det bekræfter, at operationen var bevidst og planlagt.
Pr. ca. kl. 15.00 ET den 18. april havde KelpDAO ikke offentliggjort en officiel erklæring eller en efteranalyse. Fællesskabet fulgte projektets X-konto og hjemmeside for at se, om der kom et svar, samt Aaves styringskanaler for eventuelle nødforanstaltninger.
DeFi-sikkerhedsfirmaer, herunder Peckshield, Slowmist og andre, havde endnu ikke offentliggjort detaljerede analyser på tidspunktet for skrivningen, hvilket afspejler, hvor hurtigt situationen udviklede sig. ZachXBT havde ikke offentliggjort en opfølgning, der specifikt nævnte KelpDAO i offentlige kanaler, men adressernes overlapning trak en klar grænse.
Drift Protocol-hacket i 2026: Hvad skete der, hvem mistede penge, og hvad sker der nu?
Drift Protocol mistede 286 millioner dollar den 1. april 2026 i forbindelse med et 12 minutter langt hack af Solana DeFi, der blev udført af nordkoreanske aktører ved hjælp af falsk sikkerhedsstillelse og social manipulation. read more.
Læs nu
Drift Protocol-hacket i 2026: Hvad skete der, hvem mistede penge, og hvad sker der nu?
Drift Protocol mistede 286 millioner dollar den 1. april 2026 i forbindelse med et 12 minutter langt hack af Solana DeFi, der blev udført af nordkoreanske aktører ved hjælp af falsk sikkerhedsstillelse og social manipulation. read more.
Læs nuDrift Protocol-hacket i 2026: Hvad skete der, hvem mistede penge, og hvad sker der nu?
Læs nuDrift Protocol mistede 286 millioner dollar den 1. april 2026 i forbindelse med et 12 minutter langt hack af Solana DeFi, der blev udført af nordkoreanske aktører ved hjælp af falsk sikkerhedsstillelse og social manipulation. read more.
Denne hændelse er adskilt fra udnyttelsen af Drift Protocol, som Bitcoin.com News først rapporterede om den 1. april 2026, hvor der blev drænet ca. 280 millioner dollars primært på Solana, før USDC blev overført til Ethereum via CCTP. Mekanismerne, kæderne og tidslinjerne er forskellige.
Alle, der havde rsETH eller relaterede positioner på Aave, Compound eller andre lånemarkeder, blev af medlemmer af fællesskabet rådet til at gennemgå deres eksponering, mens situationen forblev uafklaret.
De seks angriber-tegnebøger, der blev identificeret af ZachXBT, er fortsat aktive mål for sporing på blockchainen, mens analytikere arbejder på at kortlægge, hvor midlerne bevægede sig hen efter at have forladt Aave.
