Według doniesień 18 kwietnia 2026 r. osoba atakująca wykorzystała lukę w procesie emisji tokenu rsETH służącego do płynnego restakingu w projekcie KelpDAO, wyprowadzając środki o wartości szacowanej na co najmniej 280 mln dolarów z sieci Ethereum i Arbitrum.
ZachXBT ostrzega przed luką w zabezpieczeniach KelpDAO o wartości ponad 280 mln dolarów, która dotyka rynki pożyczek DeFi w sieci Ethereum
NAPISAŁ
UDOSTĘPNIJ
Najważniejsze informacje:
- 18 kwietnia 2026 r. ZachXBT zgłosił kradzież ponad 280 mln dolarów z protokołów DeFi sieci Ethereum i Arbitrum.
- Luka w procesie emisji tokenów rsETH KelpDAO spowodowała powstanie złych długów w Aave V3, a cena tokenu AAVE spadła o około 10–13%.
- KelpDAO nie potwierdziło wykorzystania luki; analitycy monitorują sześć zidentyfikowanych portfeli atakujących w poszukiwaniu wskazówek dotyczących odzyskania środków.
Wykorzystanie luki w Ethereum DeFi: Atak na rsETH w KelpDAO spowodował utratę ponad 280 mln dolarów
Badacz łańcucha bloków ZachXBT opublikował wstępny alert na swoim publicznym kanale Telegram tuż przed godziną 15:00 czasu wschodnioamerykańskiego, podając sześć adresów portfeli powiązanych z kradzieżą i zaznaczając, że portfele atakujących zostały zasilone przez Tornado Cash przed rozpoczęciem wypływu środków. W swoim poście podał straty przekraczające 280 mln dolarów w wielu protokołach DeFi, nie wymieniając bezpośrednio KelpDAO, ale analitycy łańcucha bloków połączyli te adresy w ciągu kilku godzin.
„Wygląda na to, że godzinę temu z KelpDAO skradziono ponad 280 mln dolarów na Ethereum i Arbitrum” – napisał ZachXBT. „Adresy użyte w ataku zostały zasilenie za pośrednictwem Tornado Cash”.
Atak przebiegał według dobrze znanego scenariusza. Raporty wskazują, że atakujący wykorzystali lukę w logice tworzenia tokenów rsETH, generując dużą ilość płynnych tokenów restakingowych bez zapewnienia odpowiedniego zabezpieczenia. Te zawyżone tokeny rsETH zostały następnie zdeponowane na rynkach pożyczkowych Aave V3 zarówno w sieci Ethereum, jak i Arbitrum, gdzie atakujący pożyczył znaczne kwoty ETH i innych aktywów pod ich zastaw.
Gdy zabezpieczenie zostało uznane za bezwartościowe, pozycje te pozostawiły Aave z nieściągalnymi długami. Szacunki społeczności dotyczące całkowitych strat wahały się od 100 mln do około 293 mln dolarów, co przy obecnych cenach odpowiada około 116 500 ETH.
W związku z tą wiadomością kurs AAVE gwałtownie spadł. Dane rynkowe wskazują na spadek o 10–13% w ciągu kilku godzin od pierwszego ostrzeżenia, ponieważ rynek wycenił potencjalną ekspozycję na złe długi w ramach puli pożyczkowych protokołu.
Toki płynnego restakingu, takie jak rsETH, są głęboko osadzone w kompozycyjności DeFi. Są one akceptowane jako zabezpieczenie na wielu rynkach pożyczkowych jednocześnie, co oznacza, że exploit związany z emisją może szybko rozprzestrzenić straty na różne platformy. Incydent z KelpDAO bezpośrednio ilustruje to ryzyko.
Portfele atakujących wymienione przez ZachXBT wykazywały duże pozycje ETH utrzymywane na Aave i Compound. Według doniesień, w momencie wykrycia jeden adres posiadał około 120 milionów dolarów w ETH na Aave. Środki zostały szybko przeniesione po wyczerpaniu.
Wykorzystanie Tornado Cash do wstępnego zasilenia portfeli operacyjnych przed atakiem jest standardową taktyką stosowaną przez atakujących, którzy próbują ukryć źródło pochodzenia środków. Nie wskazuje to na nową technikę, ale potwierdza, że operacja była celowa i zaplanowana.
Około godziny 15:00 czasu wschodnioamerykańskiego 18 kwietnia KelpDAO nie opublikowało jeszcze oficjalnego oświadczenia ani analizy po fakcie. Społeczność śledziła konto projektu na X i stronę internetową w oczekiwaniu na odpowiedź, a także kanały zarządzania Aave w poszukiwaniu informacji o ewentualnych działaniach nadzwyczajnych.
Firmy zajmujące się bezpieczeństwem DeFi, w tym Peckshield, Slowmist i inne, nie opublikowały jeszcze szczegółowych analiz w momencie pisania tego artykułu, co odzwierciedla tempo rozwoju sytuacji. ZachXBT nie opublikował na kanałach publicznych żadnego wpisu, w którym konkretnie wymieniłby KelpDAO, ale zbieżność adresów jasno wskazywała na ten projekt.
Włamanie do protokołu Drift w 2026 roku: co się wydarzyło, kto stracił pieniądze i co dalej
1 kwietnia 2026 r. protokół Drift stracił 286 mln dolarów w wyniku trwającego 12 minut ataku hakerskiego na platformę DeFi Solana, którego sprawcami byli podmioty z Korei Północnej wykorzystujące fałszywe zabezpieczenia i socjotechnikę. read more.
Czytaj teraz
Włamanie do protokołu Drift w 2026 roku: co się wydarzyło, kto stracił pieniądze i co dalej
1 kwietnia 2026 r. protokół Drift stracił 286 mln dolarów w wyniku trwającego 12 minut ataku hakerskiego na platformę DeFi Solana, którego sprawcami byli podmioty z Korei Północnej wykorzystujące fałszywe zabezpieczenia i socjotechnikę. read more.
Czytaj terazWłamanie do protokołu Drift w 2026 roku: co się wydarzyło, kto stracił pieniądze i co dalej
Czytaj teraz1 kwietnia 2026 r. protokół Drift stracił 286 mln dolarów w wyniku trwającego 12 minut ataku hakerskiego na platformę DeFi Solana, którego sprawcami byli podmioty z Korei Północnej wykorzystujące fałszywe zabezpieczenia i socjotechnikę. read more.
Incydent ten jest odrębny od ataku na Drift Protocol, o którym po raz pierwszy poinformował serwis Bitcoin.com News 1 kwietnia 2026 r. i który polegał na wyprowadzeniu około 280 mln USD głównie z sieci Solana, zanim USDC zostało przeniesione do Ethereum za pośrednictwem CCTP. Mechanizmy, łańcuchy i osie czasu są różne.
Członkowie społeczności doradzali wszystkim posiadaczom rsETH lub powiązanych pozycji na Aave, Compound lub innych rynkach pożyczkowych, aby sprawdzili swoje ekspozycje, dopóki sytuacja nie zostanie rozwiązana.
Sześć portfeli atakujących zidentyfikowanych przez ZachXBT pozostaje aktywnymi celami śledzenia w łańcuchu bloków, podczas gdy analitycy pracują nad ustaleniem, dokąd trafiły środki po opuszczeniu Aave.
