एक हमलावर ने कथित तौर पर 18 अप्रैल, 2026 को केल्पडीएओ के rsETH लिक्विड रेस्टेकिंग टोकन में एक मिंटिंग खामी का फायदा उठाया, जिससे एथेरियम और आर्बिट्रम पर अनुमानित $280 मिलियन या उससे अधिक की राशि निकाल ली गई।
ZachXBT ने एथेरियम डीआईएफआई लेंडिंग मार्केट्स को प्रभावित करने वाले $280M+ के KelpDAO एक्सप्लॉइट पर चेतावनी दी।
लेखक
शेयर
मुख्य बातें:
- ZachXBT ने 18 अप्रैल, 2026 को Ethereum और Arbitrum DeFi प्रोटोकॉल पर $280M+ की चोरी का पता लगाया।
- KelpDAO के rsETH मिंटिंग दोष के कारण Aave V3 पर खराब ऋण उत्पन्न हुआ, जिससे AAVE टोकन की कीमत लगभग 10-13% गिर गई।
- केल्पडेओ ने इस एक्सप्लॉइट की पुष्टि नहीं की है; विश्लेषक रिकवरी के सुरागों के लिए छह पहचाने गए हमलावर वॉलेट की निगरानी कर रहे हैं।
एथेरियम डीआईएफआई एक्सप्लॉइट: केल्पडीएओ rsETH हमले में 280 मिलियन डॉलर से अधिक की निकासी
ऑनचेन जासूस ज़ैकएक्सबीटी (ZachXBT) ने दोपहर 3 बजे ET से ठीक पहले अपने सार्वजनिक टेलीग्राम चैनल पर शुरुआती अलर्ट पोस्ट किया, जिसमें चोरी से जुड़े छह वॉलेट पते सूचीबद्ध थे और यह उल्लेख किया गया था कि हमलावर वॉलेट्स को ड्रेन शुरू होने से पहले टॉरनेडो कैश (Tornado Cash) के माध्यम से फंड किया गया था। उनकी पोस्ट में केल्पडीएओ (KelpDAO) का सीधे तौर पर नाम लिए बिना कई डीआईएफआई प्रोटोकॉल में 280 मिलियन डॉलर से अधिक के नुकसान का हवाला दिया गया था, लेकिन ऑनचेन विश्लेषकों ने कुछ ही घंटों में इन पतों को जोड़ दिया।
ज़ैकएक्सबीटी ने लिखा, "लगता है कि केल्पडीएओ से एक घंटे पहले एथेरियम और आर्बिट्रम पर $280 मिलियन से अधिक की चोरी हुई है।" "हमले के पते टॉरनेडो कैश के माध्यम से वित्तपोषित किए गए थे।"
यह हमला एक पुराने तरीके से किया गया था। रिपोर्टों के अनुसार, हमलावरों ने rsETH की मिंटिंग लॉजिक में एक खामी का फायदा उठाया, जिससे उचित कोलैटरल दिए बिना लिक्विड रीस्टेकिंग टोकन की एक बड़ी मात्रा बनाई गई। उस बढ़ा-चढ़ाकर बनाए गए rsETH को फिर एथेरियम और आर्बिट्रम दोनों पर Aave V3 लेंडिंग मार्केट में जमा किया गया, जहाँ हमलावर ने इसके बदले में ETH और अन्य संपत्तियों की बड़ी मात्रा उधार ली।
एक बार जब जमानत को बेकार घोषित कर दिया गया, तो उन पोजीशनों ने Aave पर खराब कर्ज छोड़ दिया। समुदाय के अनुमानों के अनुसार कुल नुकसान $100 मिलियन से लेकर लगभग $293 मिलियन तक था, जो मौजूदा कीमतों पर लगभग 116,500 ETH के बराबर है।
इस खबर के बाद AAVE में भारी गिरावट आई। बाज़ार के आंकड़े दिखाते हैं कि शुरुआती अलर्ट के कुछ ही घंटों के भीतर गिरावट 10% से 13% के बीच रही, क्योंकि बाज़ार ने प्रोटोकॉल के लेंडिंग पूल्स में संभावित खराब ऋण के जोखिम का आकलन किया।
rsETH जैसे लिक्विड रीस्टेकिंग टोकन DeFi कम्पोजेबिलिटी में गहराई से समाए हुए हैं। उन्हें एक साथ कई लेंडिंग मार्केट्स पर जमानत के रूप में स्वीकार किया जाता है, जिसका अर्थ है कि एक मिंटिंग एक्सप्लॉइट प्लेटफार्मों पर नुकसान को तेज़ी से फैला सकता है। केल्पडॉ (KelpDAO) की घटना सीधे तौर पर इस जोखिम को दर्शाती है।
ZachXBT द्वारा सूचीबद्ध हमलावर के वॉलेट में Aave और Compound पर रखी गई बड़ी ETH पोजीशन दिखाई दी। रिपोर्टों के अनुसार, पता लगाने के समय अकेले एक पते पर Aave पर लगभग $120 मिलियन मूल्य की ETH थी। ड्रेन के बाद फंड जल्दी से स्थानांतरित कर दिए गए।
हमले से पहले परिचालन वॉलेट को पूर्व-निधि देने के लिए टॉरनेडो कैश का उपयोग उन हमलावरों के लिए एक मानक रणनीति है जो अपनी उत्पत्ति को छिपाने की कोशिश करते हैं। यह किसी नई तकनीक का संकेत नहीं देता है, लेकिन यह पुष्टि करता है कि यह ऑपरेशन जानबूझकर और नियोजित था।
18 अप्रैल को लगभग दोपहर 3 बजे ET तक, केल्पडीएओ ने कोई आधिकारिक बयान या पोस्ट-मॉर्टम प्रकाशित नहीं किया था। समुदाय किसी प्रतिक्रिया के लिए प्रोजेक्ट के एक्स अकाउंट और वेबसाइट के साथ-साथ किसी भी आपातकालीन कार्रवाई के लिए आवे गवर्नेंस चैनलों पर नज़र रख रहा था।
पेक्सशील्ड, स्लोमिस्ट, और अन्य सहित डीआईएफआई सुरक्षा फर्मों ने, इस लेख के लिखे जाने तक विस्तृत विवरण प्रकाशित नहीं किए थे, जो इस बात को दर्शाता है कि स्थिति कितनी तेजी से विकसित हुई। ज़ैकएक्सबीटी ने सार्वजनिक चैनलों में विशेष रूप से केल्पडीएओ का नाम लेते हुए कोई फॉलो-अप पोस्ट नहीं किया था, लेकिन पते के मेल ने एक स्पष्ट रेखा खींच दी।
ड्रिफ्ट प्रोटोकॉल हैक 2026: क्या हुआ, किसका पैसा डूबा, और आगे क्या?
ड्रिफ्ट प्रोटोकॉल को 1 अप्रैल, 2026 को 12 मिनट के सोलाना डीफाई हैक में $286M का नुकसान हुआ, जो नकली कोलेटरल और सोशल इंजीनियरिंग का उपयोग करने वाले DPRK के एजेंटों से जुड़ा था। read more.
अभी पढ़ें
ड्रिफ्ट प्रोटोकॉल हैक 2026: क्या हुआ, किसका पैसा डूबा, और आगे क्या?
ड्रिफ्ट प्रोटोकॉल को 1 अप्रैल, 2026 को 12 मिनट के सोलाना डीफाई हैक में $286M का नुकसान हुआ, जो नकली कोलेटरल और सोशल इंजीनियरिंग का उपयोग करने वाले DPRK के एजेंटों से जुड़ा था। read more.
अभी पढ़ेंड्रिफ्ट प्रोटोकॉल हैक 2026: क्या हुआ, किसका पैसा डूबा, और आगे क्या?
अभी पढ़ेंड्रिफ्ट प्रोटोकॉल को 1 अप्रैल, 2026 को 12 मिनट के सोलाना डीफाई हैक में $286M का नुकसान हुआ, जो नकली कोलेटरल और सोशल इंजीनियरिंग का उपयोग करने वाले DPRK के एजेंटों से जुड़ा था। read more.
यह घटना ड्रिफ्ट प्रोटोकॉल एक्सप्लॉइट से अलग है, जिसकी पहली रिपोर्टिंग 1 अप्रैल, 2026 को Bitcoin.com न्यूज़ द्वारा की गई थी, जिसमें CCTP के माध्यम से USDC को Ethereum में ब्रिज किए जाने से पहले, मुख्य रूप से सोलैना पर लगभग $280 मिलियन निकाले गए थे। इसकी कार्यप्रणाली, चेन और समयरेखा अलग हैं।
rsETH या Aave, Compound, या अन्य लेंडिंग मार्केट पर संबंधित पोजीशन रखने वाले किसी भी व्यक्ति को समुदाय के सदस्यों द्वारा सलाह दी जा रही थी कि जब तक स्थिति अनसुलझी रहती है, तब तक वे अपने एक्सपोजर की समीक्षा करें।
ZachXBT द्वारा पहचाने गए छह हमलावर वॉलेट ऑनचेन ट्रेसिंग के लिए सक्रिय लक्ष्य बने हुए हैं, क्योंकि विश्लेषक यह मैप करने के लिए काम कर रहे हैं कि Aave से निकलने के बाद फंड कहाँ गए।
