Se pare că, pe 18 aprilie 2026, un atacator a exploatat o vulnerabilitate legată de emiterea tokenului rsETH de restaking lichid al KelpDAO, sustrăgând o sumă estimată la 280 de milioane de dolari sau mai mult de pe rețelele Ethereum și Arbitrum.
ZachXBT semnalează o vulnerabilitate în KelpDAO care a generat pierderi de peste 280 de milioane de dolari și afectează piețele de împrumuturi DeFi de pe Ethereum
SCRIS DE
DISTRIBUIE
Puncte cheie:
- ZachXBT a semnalat un furt de peste 280 de milioane de dolari din protocoalele DeFi Ethereum și Arbitrum pe 18 aprilie 2026.
- Vulnerabilitatea de emitere a tokenului rsETH al KelpDAO a generat creanțe neperformante pe Aave V3, tokenul AAVE înregistrând o scădere de aproximativ 10-13%.
- KelpDAO nu a confirmat exploatarea; analiștii monitorizează șase portofele ale atacatorilor identificate în căutarea unor indicii pentru recuperare.
Exploatarea Ethereum DeFi: Atacul rsETH al KelpDAO a golit peste 280 de milioane de dolari
Anchetatorul on-chain ZachXBT a postat alerta inițială pe canalul său public de Telegram puțin înainte de ora 15:00 ET, enumerând șase adrese de portofel legate de furt și menționând că portofelele atacatorilor au fost finanțate prin Tornado Cash înainte de începerea golirii. Postarea sa a menționat pierderi de peste 280 de milioane de dolari pe mai multe protocoale DeFi fără a numi direct KelpDAO, dar analiștii on-chain au făcut legătura între adrese în câteva ore.
„Se pare că KelpDAO a suferit un furt de peste 280 de milioane de dolari acum o oră pe Ethereum și Arbitrum”, a scris ZachXBT. „Adresele de atac au fost finanțate prin Tornado Cash.”
Atacul a urmat un scenariu binecunoscut. Rapoartele spun că atacatorii par să fi exploatat o vulnerabilitate în logica de emitere a rsETH, creând un volum mare de token de restaking lichid fără a furniza garanții adecvate. Acel rsETH umflat a fost apoi depus pe piețele de împrumut Aave V3 atât pe Ethereum, cât și pe Arbitrum, unde atacatorul a împrumutat sume semnificative de ETH și alte active în schimbul acestuia.
Odată ce garanția a fost recunoscută ca fiind fără valoare, acele poziții au lăsat Aave cu creanțe neperformante. Estimările comunității privind pierderile totale au variat de la 100 de milioane de dolari la aproximativ 293 de milioane de dolari, echivalentul a aproximativ 116.500 ETH la prețurile actuale.
AAVE a scăzut brusc la aflarea veștii. Datele de piață arată o scădere între 10% și 13% în câteva ore de la alerta inițială, pe măsură ce piața a evaluat expunerea potențială la creanțe neperformante în cadrul fondurilor de împrumut ale protocolului.
Tokenurile de restaking lichide, precum rsETH, se află în centrul componibilității DeFi. Acestea sunt acceptate ca garanție pe mai multe piețe de împrumut simultan, ceea ce înseamnă că o exploatare a procesului de emitere poate răspândi rapid pierderile pe mai multe platforme. Incidentul KelpDAO ilustrează direct acest risc.
Portofelele atacatorilor enumerate de ZachXBT prezentau poziții mari de ETH deținute pe Aave și Compound. Se pare că o singură adresă deținea aproximativ 120 de milioane de dolari în ETH pe Aave la momentul detectării. Fondurile au fost mutate rapid după golirea fondurilor.
Utilizarea Tornado Cash pentru a prefinanța portofelele operaționale înainte de atac este o tactică standard pentru atacatorii care încearcă să ascundă originile. Aceasta nu indică o tehnică nouă, dar confirmă faptul că operațiunea a fost deliberată și planificată.
La ora 15:00 ET, pe 18 aprilie, KelpDAO nu publicase încă o declarație oficială sau o analiză post-mortem. Comunitatea urmărea contul X și site-ul web al proiectului în așteptarea unui răspuns, precum și canalele de guvernanță Aave pentru eventualele acțiuni de urgență.
Firmele de securitate DeFi, inclusiv Peckshield, Slowmist și altele, nu publicaseră încă analize detaliate la momentul redactării articolului, ceea ce reflectă rapiditatea cu care s-a dezvoltat situația. ZachXBT nu postase o continuare în care să menționeze în mod specific KelpDAO pe canalele publice, dar suprapunerea adreselor a trasat o linie clară.
Atacul cibernetic asupra protocolului Drift din 2026: Ce s-a întâmplat, cine a pierdut bani și ce urmează
Protocolul Drift a suferit pierderi în valoare de 286 de milioane de dolari pe 1 aprilie 2026, în urma unui atac cibernetic asupra platformei DeFi Solana, care a durat 12 minute și a fost pus la cale de actori din… read more.
Citește acum
Atacul cibernetic asupra protocolului Drift din 2026: Ce s-a întâmplat, cine a pierdut bani și ce urmează
Protocolul Drift a suferit pierderi în valoare de 286 de milioane de dolari pe 1 aprilie 2026, în urma unui atac cibernetic asupra platformei DeFi Solana, care a durat 12 minute și a fost pus la cale de actori din… read more.
Citește acumAtacul cibernetic asupra protocolului Drift din 2026: Ce s-a întâmplat, cine a pierdut bani și ce urmează
Citește acumProtocolul Drift a suferit pierderi în valoare de 286 de milioane de dolari pe 1 aprilie 2026, în urma unui atac cibernetic asupra platformei DeFi Solana, care a durat 12 minute și a fost pus la cale de actori din… read more.
Acest incident este separat de exploatarea Drift Protocol raportată pentru prima dată de Bitcoin.com News pe 1 aprilie 2026, care a implicat aproximativ 280 de milioane de dolari sustrase în principal pe Solana înainte ca USDC să fie transferat către Ethereum prin CCTP. Mecanismele, lanțurile și cronologiile sunt distincte.
Oricine deținea rsETH sau poziții conexe pe Aave, Compound sau alte piețe de împrumut a fost sfătuit de membrii comunității să-și revizuiască expunerea, în timp ce situația rămânea nerezolvată.
Cele șase portofele ale atacatorilor identificate de ZachXBT rămân ținte active pentru urmărirea pe lanț, în timp ce analiștii lucrează pentru a cartografia unde s-au mutat fondurile după ce au părăsit Aave.
