ZachXBT označava exploit KelpDAO-a vrijedan 280+ milijuna dolara koji pogađa Ethereum DeFi tržišta posudbe

Ključne poruke:

• ZachXBT je 18. travnja 2026. označio krađu od 280M+ dolara kroz DeFi protokole na Ethereumu i Arbitrumu.
• Propust u mintanju KelpDAO-ova rsETH-a stvorio je loš dug na Aave V3, a AAVE token pao je otprilike 10–13%.
• KelpDAO nije potvrdio exploit; analitičari prate šest identificiranih napadačevih novčanika zbog tragova za povrat sredstava.

Ethereum DeFi exploit: napad na KelpDAO rsETH ispraznio više od 280 milijuna dolara

Onchain istražitelj ZachXBT objavio je početno upozorenje na svom javnom Telegram kanalu malo prije 15:00 ET, navodeći šest adresa novčanika povezanih s krađom i napominjući da su napadačevi novčanici bili financirani putem Tornado Casha prije nego što je pražnjenje započelo. U objavi se navode gubici veći od 280 milijuna dolara kroz više DeFi protokola bez izravnog spominjanja KelpDAO-a, no onchain analitičari povezali su adrese u roku od nekoliko sati.

“KelpDAO-u je, čini se, ukradeno 280M+ dolara prije sat vremena na Ethereumu i Arbitrumu,” napisao je ZachXBT. “Adrese napada financirane su putem Tornado Casha.”

Napad je slijedio već dobro poznat obrazac. Izvješća navode da su napadači očito iskoristili propust u logici mintanja rsETH-a, stvorivši veliku količinu likvidnog restaking tokena bez osiguravanja odgovarajućeg kolaterala. Taj napuhani rsETH potom je položen u Aave V3 tržišta posudbe i na Ethereumu i na Arbitrumu, gdje je napadač posudio značajne iznose ETH-a i druge imovine protiv njega.

Kada je kolateral prepoznat kao bezvrijedan, te su pozicije ostavile Aaveu loš dug. Procjene zajednice o ukupnim gubicima kretale su se od 100 milijuna dolara do otprilike 293 milijuna dolara, što je ekvivalent približno 116.500 ETH-a po trenutačnim cijenama.

AAVE je naglo pao na vijest. Tržišni podaci pokazuju pad između 10% i 13% u roku od nekoliko sati nakon početnog upozorenja, dok je tržište vagalo potencijalnu izloženost lošem dugu kroz protokolove bazene za posudbu.

Likvidni restaking tokeni poput rsETH-a duboko su ugrađeni u DeFi kompozabilnost. Prihvaćaju se kao kolateral na više tržišta posudbe istovremeno, što znači da se exploit mintanja može brzo proširiti i uzrokovati gubitke na više platformi. Incident s KelpDAO-om izravno ilustrira taj rizik.

Napadačevi novčanici koje je naveo ZachXBT pokazivali su velike ETH pozicije držane na Aaveu i Compoundu. Navodno je samo jedna adresa u trenutku otkrivanja držala približno 120 milijuna dolara u ETH-u na Aaveu. Sredstva su brzo premještana nakon pražnjenja.

Korištenje Tornado Casha za prethodno financiranje operativnih novčanika prije napada standardna je taktika napadača koji pokušavaju zamagliti podrijetlo. To ne upućuje na novu tehniku, ali potvrđuje da je operacija bila namjerna i planirana.

Oko 15:00 ET 18. travnja KelpDAO još nije objavio službenu izjavu ni post-mortem. Zajednica je pratila X račun projekta i web-stranicu u potrazi za odgovorom, kao i Aave governance kanale radi eventualnih hitnih mjera.

DeFi sigurnosne tvrtke, uključujući Peckshield, Slowmist i druge, u trenutku pisanja još nisu objavile detaljne analize, što odražava koliko se situacija brzo razvijala. ZachXBT nije objavio nastavak u kojem izričito imenuje KelpDAO na javnim kanalima, no preklapanje adresa povuklo je jasnu poveznicu.

Ovaj incident odvojen je od exploita Drift Protocola o kojem je Bitcoin.com News prvi izvijestio 1. travnja 2026., a koji je uključivao približno 280 milijuna dolara ispražnjenih primarno na Solani prije nego što je USDC premošćen na Ethereum putem CCTP-a. Mehanika, lanci i vremenski okviri su različiti.

Svima koji drže rsETH ili povezane pozicije na Aaveu, Compoundu ili drugim tržištima posudbe članovi zajednice savjetovali su da provjere izloženost dok situacija ostaje neriješena.

Šest napadačevih novčanika koje je identificirao ZachXBT ostaju aktivne mete za onchain praćenje dok analitičari rade na mapiranju kretanja sredstava nakon što su napustila Aave.