לפי הדיווחים, תוקף ניצל פגם בהנפקה (minting) של אסימון הריסטייקינג הנזיל rsETH של KelpDAO ב-18 באפריל 2026, ורוקן סכום מוערך של 280 מיליון דולר או יותר ברחבי את’ריום ו-Arbitrum.
ZachXBT מסמן ניצול פרצה של KelpDAO בהיקף של יותר מ־280 מיליון דולר שפוגע בשוקי ההלוואות של DeFi על גבי את׳ריום
נכתב ע"י
שתף
נקודות עיקריות:
- ZachXBT סימן גניבה של 280 מיליון דולר+ בפרוטוקולי DeFi על את’ריום ו-Arbitrum ב-18 באפריל 2026.
- פגם ההנפקה של rsETH של KelpDAO יצר חוב בעייתי ב-Aave V3, כאשר אסימון AAVE ירד בכ-10%-13%.
- KelpDAO לא אישרה את הניצול; אנליסטים עוקבים אחר שישה ארנקים של התוקף שזוהו לצורך רמזים להשבת כספים.
ניצול ב-DeFi של את’ריום: מתקפת KelpDAO rsETH מרוקנת מעל 280 מיליון דולר
חוקר האונצ’יין ZachXBT פרסם את ההתראה הראשונית בערוץ הטלגרם הציבורי שלו זמן קצר לפני 15:00 שעון החוף המזרחי (ET), וציין שישה כתובות ארנק הקשורות לגניבה והעיר כי ארנקי התוקף הוזנו מימון מראש דרך Tornado Cash לפני שהריקון החל. בפוסט שלו ציין הפסדים העולים על 280 מיליון דולר במספר פרוטוקולי DeFi מבלי לנקוב ב-KelpDAO במפורש, אך אנליסטים אונצ’יין קישרו את הכתובות בתוך שעות.
“KelpDAO נראה כי נגנבו ממנו 280 מיליון דולר+ לפני שעה על את’ריום ו-Arbitrum,” כתב ZachXBT. “כתובות התקיפה מומנו דרך Tornado Cash.”
המתקפה עקבה אחר תבנית מוכרת היטב. לפי דיווחים, נראה שהתוקפים ניצלו פגם בלוגיקת ההנפקה של rsETH, ויצרו כמות גדולה של אסימון הריסטייקינג הנזיל מבלי לספק בטוחה ראויה. ה-rsETH המנופח הופקד לאחר מכן בשווקי ההלוואות של Aave V3 הן באת’ריום והן ב-Arbitrum, שם התוקף לווה סכומים משמעותיים של ETH ונכסים נוספים כנגדו.
ברגע שהבטוחה הוכרה כחסרת ערך, הפוזיציות הללו הותירו את Aave עם חוב בעייתי. הערכות קהילתיות לסך ההפסדים נעו בין 100 מיליון דולר לכ-293 מיליון דולר, המקבילים לכ-116,500 ETH במחירים הנוכחיים.
AAVE צנח בחדות בעקבות החדשות. נתוני שוק מראים ירידה של בין 10% ל-13% בתוך שעות מההתראה הראשונית, כאשר השוק שקל חשיפה אפשרית לחוב בעייתי ברחבי מאגרי ההלוואות של הפרוטוקול.
אסימוני ריסטייקינג נזילים כמו rsETH יושבים עמוק בתוך קומפוזביליות ה-DeFi. הם מתקבלים כבטוחה במספר שווקי הלוואות בו-זמנית, מה שאומר שניצול בהנפקה יכול להפיץ הפסדים במהירות בין פלטפורמות. אירוע KelpDAO ממחיש את הסיכון הזה באופן ישיר.
ארנקי התוקף שמנה ZachXBT הראו פוזיציות ETH גדולות שהוחזקו ב-Aave וב-Compound. לפי הדיווחים, כתובת אחת לבדה החזיקה בכ-120 מיליון דולר ב-ETH ב-Aave בזמן הזיהוי. הכספים הועברו במהירות לאחר הריקון.
השימוש ב-Tornado Cash למימון מראש של ארנקים תפעוליים לפני המתקפה הוא טקטיקה סטנדרטית של תוקפים המנסים לטשטש מקורות. הדבר אינו מצביע על טכניקה חדשה, אך הוא מאשר שהמבצע היה מכוון ומתוכנן.
נכון לסביבות 15:00 שעון ET ב-18 באפריל, KelpDAO לא פרסמה הודעה רשמית או דוח פוסט-מורטם. הקהילה עקבה אחר חשבון ה-X של הפרויקט ואתר האינטרנט שלו לתגובה, וכן אחר ערוצי הממשל של Aave לכל פעולות חירום אפשריות.
חברות אבטחת DeFi, כולל Peckshield, Slowmist ואחרות, עדיין לא פרסמו פירוקים מפורטים בזמן הכתיבה, מה שמשקף עד כמה מהר התפתחה הסיטואציה. ZachXBT לא פרסם עדכון נוסף שמזכיר במפורש את KelpDAO בערוצים ציבוריים, אך חפיפת הכתובות שרטטה קו ברור.
פריצת Drift Protocol 2026: מה קרה, מי הפסיד כסף, ומה הלאה
פרוטוקול Drift הפסיד 286 מיליון דולר ב-1 באפריל 2026, בפריצת DeFi בסולאנה שנמשכה 12 דקות וקושרה לגורמים מצפון קוריאה, אשר השתמשו בבטוחה מזויפת ובהנדסה חברתית. read more.
קרא עכשיו
פריצת Drift Protocol 2026: מה קרה, מי הפסיד כסף, ומה הלאה
פרוטוקול Drift הפסיד 286 מיליון דולר ב-1 באפריל 2026, בפריצת DeFi בסולאנה שנמשכה 12 דקות וקושרה לגורמים מצפון קוריאה, אשר השתמשו בבטוחה מזויפת ובהנדסה חברתית. read more.
קרא עכשיופריצת Drift Protocol 2026: מה קרה, מי הפסיד כסף, ומה הלאה
קרא עכשיופרוטוקול Drift הפסיד 286 מיליון דולר ב-1 באפריל 2026, בפריצת DeFi בסולאנה שנמשכה 12 דקות וקושרה לגורמים מצפון קוריאה, אשר השתמשו בבטוחה מזויפת ובהנדסה חברתית. read more.
אירוע זה נפרד מ-ניצול Drift Protocol שעליו דווח לראשונה ב-Bitcoin.com News ב-1 באפריל 2026, שכלל כ-280 מיליון דולר שנוקזו בעיקר על גבי Solana לפני ש-USDC גושר אל את’ריום דרך CCTP. המכניקה, השרשראות ולוחות הזמנים שונים.
כל מי שמחזיק rsETH או פוזיציות קשורות ב-Aave, Compound או שווקי הלוואות אחרים, קיבל מהקהילה המלצה לבחון את החשיפה כל עוד המצב נותר בלתי פתור.
ששת ארנקי התוקף שזוהו על ידי ZachXBT נותרו יעדים פעילים למעקב אונצ’יין, בעוד אנליסטים פועלים למפות לאן הועברו הכספים לאחר שעזבו את Aave.
