A jelentések szerint egy támadó 2026. április 18-án kihasználta a KelpDAO rsETH likviditási újrakötési tokenjének kibocsátási hibáját, és az Ethereum és az Arbitrum hálózatain összesen becslések szerint 280 millió dollárt vagy annál is többet sikkasztott el.
ZachXBT riasztást adott ki egy több mint 280 millió dolláros KelpDAO-biztonsági résről, amely az Ethereum DeFi-hitelezési piacait érinti
ÍRTA
MEGOSZTÁS
Főbb megállapítások:
- ZachXBT 2026. április 18-án jelzett egy több mint 280 millió dolláros lopást az Ethereum és az Arbitrum DeFi protokolljain.
- A KelpDAO rsETH tokenjének kibocsátási hibája rossz adósságot okozott az Aave V3-on, az AAVE token értéke pedig körülbelül 10-13%-kal esett vissza.
- A KelpDAO nem erősítette meg a biztonsági rést; az elemzők hat azonosított támadói pénztárcát figyelnek a visszaszerzéshez szükséges nyomok után kutatva.
Ethereum DeFi-sebezhetőség: a KelpDAO rsETH-támadása több mint 280 millió dollárt emésztett fel
ZachXBT, az onchain-nyomozó röviddel 15:00 (ET) előtt tette közzé az első riasztást nyilvános Telegram-csatornáján, felsorolva a lopáshoz kapcsolódó hat pénztárca-címet, és megjegyezve, hogy a támadó pénztárcáit a kifosztás megkezdése előtt a Tornado Cash-en keresztül töltötték fel. Bejegyzésében több DeFi-protokollon átívelő, 280 millió dollárt meghaladó veszteségeket említett anélkül, hogy közvetlenül megnevezte volna a KelpDAO-t, de az onchain-elemzők néhány órán belül összekapcsolták a címeket.
„Úgy tűnik, hogy egy órával ezelőtt több mint 280 millió dollárt loptak el a KelpDAO-tól az Ethereumon és az Arbitrumon” – írta ZachXBT. „A támadáshoz használt címeket a Tornado Cash-en keresztül finanszírozták.”
A támadás egy jól bevált forgatókönyvet követett. A jelentések szerint a támadók úgy tűnik, hogy kihasználták az rsETH kibocsátási logikájának egy hibáját, és megfelelő fedezet nélkül nagy mennyiségű likvid restaking tokent hoztak létre. Ezt a felfújt rsETH-t aztán az Ethereumon és az Arbitrumon egyaránt az Aave V3 hitelezési piacaira helyezték, ahol a támadó jelentős mennyiségű ETH-t és egyéb eszközöket vett fel ellene.
Miután a fedezetet értéktelennek ítélték, ezek a pozíciók rossz adósságot hagytak az Aave-n. A közösség becslései szerint a teljes veszteség 100 millió és körülbelül 293 millió dollár között mozgott, ami a jelenlegi árakon körülbelül 116 500 ETH-nak felel meg.
Az AAVE a hírre hirtelen zuhant. A piaci adatok szerint az első riasztást követő órákban 10–13%-os esés volt tapasztalható, mivel a piac mérlegelte a protokoll hitelezési pooljaiban fennálló potenciális rossz adósságkockázatot.
A rsETH-hez hasonló likvid újrakötési tokenek mélyen beágyazódnak a DeFi összetettségébe. Ezeket egyszerre több hitelezési piacon is elfogadják fedezetként, ami azt jelenti, hogy egy kibocsátási sebezhetőség gyorsan terjesztheti a veszteségeket a platformok között. A KelpDAO-incidens közvetlenül illusztrálja ezt a kockázatot.
A ZachXBT által felsorolt támadói pénztárcák jelentős ETH-pozíciókat tartottak az Aave-n és a Compoundon. Egyetlen cím állítólag körülbelül 120 millió dollár értékű ETH-t tartott az Aave-n a felderítés idején. A pénzeszközöket a kiürítés után gyorsan áthelyezték.
A Tornado Cash használata a támadás előtti operatív pénztárcák előzetes feltöltésére szokásos taktika azoknál a támadóknál, akik el akarják rejteni a forrásokat. Ez nem utal új technikára, de megerősíti, hogy a művelet szándékos és tervezett volt.
Április 18-án, keleti idő szerint körülbelül délután 3 órakor a KelpDAO még nem tett közzé hivatalos nyilatkozatot vagy utólagos elemzést. A közösség a projekt X-fiókját és weboldalát figyelte a válaszra várva, valamint az Aave irányítási csatornáit is, hátha valamilyen sürgősségi intézkedésről van szó.
A DeFi biztonsági cégek, köztük a Peckshield, a Slowmist és mások, a cikk írásának időpontjában még nem tettek közzé részletes elemzéseket, ami jól tükrözi, milyen gyorsan alakult a helyzet. ZachXBT nem tett közzé olyan nyilvános csatornákon olyan bejegyzést, amely kifejezetten a KelpDAO-t nevezte volna meg, de a címek átfedése egyértelműen rámutatott a kapcsolatra.
A Drift Protocol 2026-os hackelése: Mi történt, kik vesztettek pénzt, és mi következik?
A Drift Protocol 2026. április 1-jén 286 millió dolláros veszteséget szenvedett el egy 12 perces Solana DeFi-támadás során, amelynek hátterében észak-koreai szereplők álltak, akik hamis biztosítékokat és szociális mérnöki módszereket alkalmaztak. read more.
Olvass most
A Drift Protocol 2026-os hackelése: Mi történt, kik vesztettek pénzt, és mi következik?
A Drift Protocol 2026. április 1-jén 286 millió dolláros veszteséget szenvedett el egy 12 perces Solana DeFi-támadás során, amelynek hátterében észak-koreai szereplők álltak, akik hamis biztosítékokat és szociális mérnöki módszereket alkalmaztak. read more.
Olvass mostA Drift Protocol 2026-os hackelése: Mi történt, kik vesztettek pénzt, és mi következik?
Olvass mostA Drift Protocol 2026. április 1-jén 286 millió dolláros veszteséget szenvedett el egy 12 perces Solana DeFi-támadás során, amelynek hátterében észak-koreai szereplők álltak, akik hamis biztosítékokat és szociális mérnöki módszereket alkalmaztak. read more.
Ez az incidens független a Drift Protocol kihasználásától, amelyről a Bitcoin.com News először 2026. április 1-jén számolt be, és amely során körülbelül 280 millió dollár tűnt el elsősorban a Solana hálózatáról, mielőtt az USDC-t a CCTP-n keresztül átvitték az Ethereumra. A mechanizmusok, a blokkláncok és az idővonalak eltérőek.
A közösség tagjai azt tanácsolták mindenkinek, aki rsETH-t vagy kapcsolódó pozíciókat tartott az Aave-n, a Compoundon vagy más hitelezési piacokon, hogy vizsgálja felül kitettségét, amíg a helyzet megoldatlan marad.
A ZachXBT által azonosított hat támadói pénztárca továbbra is aktív célpontja az on-chain nyomkövetésnek, miközben az elemzők azon dolgoznak, hogy feltérképezzék, hová kerültek a pénzeszközök az Aave elhagyása után.
