Iniulat na sinamantala ng isang umaatake ang isang kahinaan sa pag-mint sa rsETH liquid restaking token ng KelpDAO noong Abril 18, 2026, na nagresulta sa pag-drain ng tinatayang $280 milyon o higit pa sa Ethereum at Arbitrum.
ZachXBT Nagbabala sa $280M+ KelpDAO Exploit na Tumatama sa Mga Ethereum DeFi Lending Market
ISINULAT NI
IBAHAGI
Mahahalagang Punto:
- Itinuro ni ZachXBT ang $280M+ na pagnanakaw sa mga DeFi protocol sa Ethereum at Arbitrum noong Abril 18, 2026.
- Ang kahinaan sa pag-mint ng rsETH ng KelpDAO ay lumikha ng masamang utang sa Aave V3, kung saan bumagsak ang AAVE token nang humigit-kumulang 10-13%.
- Hindi pa kinukumpirma ng KelpDAO ang pagsasamantala; binabantayan ng mga analyst ang anim na natukoy na attacker wallet para sa mga pahiwatig ng posibleng pag-recover.
Ethereum DeFi Exploit: Pag-atake sa KelpDAO rsETH Nag-drain ng Mahigit $280 Milyon
Nag-post ang onchain investigator na ZachXBT ng paunang alerto sa kanyang pampublikong Telegram channel ilang sandali bago mag-3 p.m. ET, na naglista ng anim na wallet address na may kaugnayan sa pagnanakaw at binanggit na ang mga attacker wallet ay pinondohan sa pamamagitan ng Tornado Cash bago nagsimula ang pag-drain. Binanggit sa kanyang post ang mga pagkaluging lumampas sa $280 milyon sa iba’t ibang DeFi protocol nang hindi tuwirang pinapangalanan ang KelpDAO, ngunit ikinonekta ng mga onchain analyst ang mga address sa loob lamang ng ilang oras.
“Mukhang ninakawan ang KelpDAO ng $280M+ isang oras ang nakalipas sa Ethereum at Arbitrum,” isinulat ni ZachXBT. “Ang mga attack address ay pinondohan sa pamamagitan ng Tornado Cash.”
Sinundan ng pag-atake ang isang pamilyar na playbook. Ayon sa mga ulat, tila sinamantala ng mga umaatake ang isang kahinaan sa lohika ng pag-mint ng rsETH, na lumilikha ng malaking dami ng liquid restaking token nang hindi nagbibigay ng tamang kolateral. Ang pinalobong rsETH na iyon ay saka idineposito sa mga Aave V3 lending market sa parehong Ethereum at Arbitrum, kung saan nanghiram ang umaatake ng malalaking halaga ng ETH at iba pang asset laban dito.
Nang kilalanin na walang halaga ang kolateral, iniwan ng mga posisyong iyon ang Aave na may masamang utang. Ang mga pagtataya ng komunidad sa kabuuang pagkalugi ay mula $100 milyon hanggang humigit-kumulang $293 milyon, na katumbas ng tinatayang 116,500 ETH sa kasalukuyang presyo.
Bumagsak nang malaki ang AAVE sa balita. Ipinapakita ng datos sa merkado ang pagbaba sa pagitan ng 10% at 13% sa loob ng ilang oras matapos ang paunang alerto, habang tinataya ng merkado ang posibleng exposure sa masamang utang sa mga lending pool ng protocol.
Ang mga liquid restaking token gaya ng rsETH ay malalim ang pagkakabaon sa DeFi composability. Tinatanggap sila bilang kolateral sa maraming lending market nang sabay-sabay, ibig sabihin, ang isang minting exploit ay maaaring mabilis na magpakalat ng pagkalugi sa iba’t ibang platform. Direktang ipinapakita ng insidente ng KelpDAO ang panganib na iyon.
Ipinakita ng mga attacker wallet na inilista ni ZachXBT ang malalaking posisyon sa ETH na hawak sa Aave at Compound. Isang address lamang ang iniulat na may hawak na humigit-kumulang $120 milyon sa ETH sa Aave sa oras ng pagkatuklas. Mabilis na inilipat ang mga pondo matapos ang pag-drain.
Ang paggamit ng Tornado Cash upang paunang pondohan ang mga operational wallet bago ang pag-atake ay karaniwang taktika ng mga umaatake na sinusubukang pagtakpan ang pinagmulan. Hindi ito nagpapahiwatig ng bagong teknik, ngunit pinatutunayan nitong sinadya at planado ang operasyon.
Hanggang bandang 3 p.m. ET noong Abril 18, hindi pa naglalabas ang KelpDAO ng opisyal na pahayag o post-mortem. Binabantayan ng komunidad ang X account at website ng proyekto para sa tugon, pati na rin ang mga channel ng pamamahala ng Aave para sa anumang pang-emerhensiyang aksyon.
Ang mga DeFi security firm, kabilang ang Peckshield, Slowmist, at iba pa, ay hindi pa naglalathala ng detalyadong mga breakdown sa oras ng pagsulat, na sumasalamin kung gaano kabilis na umunlad ang sitwasyon. Hindi pa nagpo-post si ZachXBT ng follow-up na partikular na pinapangalanan ang KelpDAO sa mga pampublikong channel, ngunit ang pagkakatugma ng mga address ay naglatag ng malinaw na ugnayan.
Drift Protocol Hack 2026: Ano ang Nangyari, Sino ang Nawalan ng Pera, at Ano ang Susunod
Nawalan ang Drift Protocol ng $286M noong Abril 1, 2026, sa isang 12-minutong Solana DeFi hack na iniugnay sa mga aktor ng DPRK na gumamit ng pekeng kolateral at social engineering. read more.
Basahin ngayon
Drift Protocol Hack 2026: Ano ang Nangyari, Sino ang Nawalan ng Pera, at Ano ang Susunod
Nawalan ang Drift Protocol ng $286M noong Abril 1, 2026, sa isang 12-minutong Solana DeFi hack na iniugnay sa mga aktor ng DPRK na gumamit ng pekeng kolateral at social engineering. read more.
Basahin ngayonDrift Protocol Hack 2026: Ano ang Nangyari, Sino ang Nawalan ng Pera, at Ano ang Susunod
Basahin ngayonNawalan ang Drift Protocol ng $286M noong Abril 1, 2026, sa isang 12-minutong Solana DeFi hack na iniugnay sa mga aktor ng DPRK na gumamit ng pekeng kolateral at social engineering. read more.
Ang insidenteng ito ay hiwalay mula sa Drift Protocol exploit na unang iniulat ng Bitcoin.com News noong Abril 1, 2026, na kinasangkutan ng humigit-kumulang $280 milyon na na-drain pangunahin sa Solana bago na-bridge ang USDC papuntang Ethereum sa pamamagitan ng CCTP. Magkakaiba ang mekanismo, mga chain, at mga timeline.
Ang sinumang may hawak ng rsETH o kaugnay na mga posisyon sa Aave, Compound, o iba pang lending market ay pinapayuhan ng mga miyembro ng komunidad na suriin ang kanilang exposure habang nananatiling hindi pa nareresolba ang sitwasyon.
Ang anim na attacker wallet na natukoy ni ZachXBT ay nananatiling aktibong target para sa onchain tracing habang sinusubukan ng mga analyst na imapa kung saan napunta ang mga pondo matapos umalis sa Aave.
