Seorang penyerang dilaporkan mengeksploitasi kecacatan minting dalam token liquid restaking rsETH milik KelpDAO pada 18 April 2026, menguras anggaran $280 juta atau lebih merentasi Ethereum dan Arbitrum.
ZachXBT Menandakan Eksploitasi KelpDAO Bernilai $280J+ yang Melanda Pasaran Pinjaman DeFi Ethereum
DITULIS OLEH
KONGSI
Intipati Utama:
- ZachXBT menandai kecurian $280J+ merentasi protokol DeFi Ethereum dan Arbitrum pada 18 April 2026.
- Kecacatan minting rsETH KelpDAO mencipta hutang lapuk pada Aave V3, dengan token AAVE jatuh kira-kira 10-13%.
- KelpDAO belum mengesahkan eksploit tersebut; penganalisis memantau enam dompet penyerang yang dikenal pasti untuk petunjuk pemulihan.
Eksploit DeFi Ethereum: Serangan KelpDAO rsETH Menguras Lebih $280 Juta
Penyiasat onchain ZachXBT menyiarkan amaran awal ke saluran Telegram awamnya sejurus sebelum jam 3 petang ET, menyenaraikan enam alamat dompet yang dikaitkan dengan kecurian tersebut dan menyatakan bahawa dompet penyerang telah dibiayai melalui Tornado Cash sebelum pengurasan bermula. Catatannya menyebut kerugian melebihi $280 juta merentasi pelbagai protokol DeFi tanpa menamakan KelpDAO secara langsung, tetapi penganalisis onchain mengaitkan alamat-alamat itu dalam beberapa jam.
“KelpDAO nampaknya telah kehilangan $280J+ dicuri satu jam lalu di Ethereum dan Arbitrum,” tulis ZachXBT. “Alamat serangan dibiayai melalui Tornado Cash.”
Serangan itu mengikuti kaedah yang sudah lazim. Laporan menyatakan para penyerang nampaknya mengeksploitasi kecacatan dalam logik minting rsETH, menghasilkan jumlah besar token liquid restaking tersebut tanpa menyediakan cagaran yang sepatutnya. rsETH yang meningkat secara palsu itu kemudian didepositkan ke dalam pasaran pinjaman Aave V3 di Ethereum dan Arbitrum, di mana penyerang meminjam sejumlah besar ETH dan aset lain dengan menjaminkannya.
Apabila cagaran itu dikenal pasti tidak bernilai, kedudukan-kedudukan tersebut meninggalkan Aave menanggung hutang lapuk. Anggaran komuniti mengenai jumlah kerugian berkisar daripada $100 juta hingga kira-kira $293 juta, bersamaan lebih kurang 116,500 ETH pada harga semasa.
AAVE jatuh mendadak selepas berita itu. Data pasaran menunjukkan penurunan antara 10% dan 13% dalam beberapa jam selepas amaran awal, ketika pasaran menilai potensi pendedahan hutang lapuk merentasi kumpulan pinjaman protokol tersebut.
Token liquid restaking seperti rsETH berada jauh di dalam kebolehsusunan (composability) DeFi. Ia diterima sebagai cagaran pada pelbagai pasaran pinjaman secara serentak, yang bermaksud eksploit minting boleh menyebarkan kerugian dengan cepat merentasi platform. Insiden KelpDAO menggambarkan risiko itu secara langsung.
Dompet penyerang yang disenaraikan oleh ZachXBT menunjukkan kedudukan ETH yang besar dipegang pada Aave dan Compound. Satu alamat sahaja dilaporkan memegang kira-kira $120 juta dalam ETH di Aave pada masa dikesan. Dana dipindahkan dengan cepat selepas pengurasan.
Penggunaan Tornado Cash untuk membiayai terlebih dahulu dompet operasi sebelum serangan adalah taktik standard bagi penyerang yang cuba mengaburkan asal-usul. Ia tidak menunjukkan teknik baharu, tetapi mengesahkan operasi itu disengajakan dan dirancang.
Sehingga kira-kira jam 3 petang ET pada 18 April, KelpDAO belum menerbitkan kenyataan rasmi atau laporan post-mortem. Komuniti memantau akaun X dan laman web projek untuk respons, serta saluran tadbir urus Aave bagi sebarang tindakan kecemasan.
Firma keselamatan DeFi, termasuk Peckshield, Slowmist, dan lain-lain, masih belum menerbitkan pecahan terperinci pada waktu penulisan, mencerminkan betapa cepatnya situasi berkembang. ZachXBT belum menyiarkan susulan yang secara khusus menamakan KelpDAO di saluran awam, tetapi pertindihan alamat menunjukkan kaitan yang jelas.
Penggodaman Drift Protocol 2026: Apa Yang Berlaku, Siapa Yang Kehilangan Wang, dan Apa Seterusnya
Protokol Drift kehilangan $286M pada 1 April 2026, dalam satu penggodaman Solana DeFi selama 12 minit yang dikaitkan dengan pelaku DPRK yang menggunakan cagaran palsu dan kejuruteraan sosial. read more.
Baca sekarang
Penggodaman Drift Protocol 2026: Apa Yang Berlaku, Siapa Yang Kehilangan Wang, dan Apa Seterusnya
Protokol Drift kehilangan $286M pada 1 April 2026, dalam satu penggodaman Solana DeFi selama 12 minit yang dikaitkan dengan pelaku DPRK yang menggunakan cagaran palsu dan kejuruteraan sosial. read more.
Baca sekarangPenggodaman Drift Protocol 2026: Apa Yang Berlaku, Siapa Yang Kehilangan Wang, dan Apa Seterusnya
Baca sekarangProtokol Drift kehilangan $286M pada 1 April 2026, dalam satu penggodaman Solana DeFi selama 12 minit yang dikaitkan dengan pelaku DPRK yang menggunakan cagaran palsu dan kejuruteraan sosial. read more.
Insiden ini berasingan daripada eksploit Drift Protocol yang pertama kali dilaporkan oleh Bitcoin.com News pada 1 April 2026, yang melibatkan kira-kira $280 juta dikuras terutamanya di Solana sebelum USDC dijambatani ke Ethereum melalui CCTP. Mekanisme, rantaian, dan garis masa adalah berbeza.
Sesiapa yang memegang rsETH atau kedudukan berkaitan pada Aave, Compound, atau pasaran pinjaman lain dinasihatkan oleh ahli komuniti supaya menilai pendedahan sementara situasi masih belum selesai.
Enam dompet penyerang yang dikenal pasti oleh ZachXBT kekal sebagai sasaran aktif untuk penjejakan onchain ketika penganalisis berusaha memetakan ke mana dana dipindahkan selepas meninggalkan Aave.
