Zpět na domů

Krádež $292 mil. z Kelp DAO: podrobnosti útoku přes most

Hackerský útok na protokol Kelp DAO vedl ke ztrátě $292 mil. kvůli zranitelnosti v mezisíťovém mostě. Tým zastavil kontrakty a zabránil dalším ztrátám. Incident způsobil pokles AAVE a zmrazení trhů rsETH.

Největší hackerský útok roku: $292 mil. ukradeno z Kelp DAO
Advertisement 728x90

Největší krádež roku: hacker vyvedl $292 milionů z protokolu Kelp DAO přes cross-chain most

Hackerský útok na protokol likvidního restakingu Kelp DAO vedl ke ztrátě více než 116 000 tokenů rsETH, což odpovídá přibližně $292 milionům. Incident se odehrál večer 20. dubna 2026 a stal se jedním z největších v historii DeFi. Útočník využil zranitelnost v cross-chain mostu standardu OFT, což mu umožnilo vyvést prostředky během několika minut. Tým projektu okamžitě pozastavil činnost kontraktů, čímž zabránil dalším ztrátám ve výši $100 milionů.

Mechanismus útoku a rozsah škod

Útočník si předem připravil peněženku, kterou dobil přes mixér Tornado Cash přibližně 10 hodin před útokem. V 17:35 UTC byla zavolána funkce lzReceive v kontraktu LayerZero, načež most automaticky převedl 116 500 tokenů rsETH (asi 18 % z celkové emise 630 000 tokenů) na adresu ovládanou hackerem. Hlavní ztráty utrpěly sítě Ethereum a Arbitrum. Pokusy o vyvedení dalších 40 000 rsETH ($100 milionů) byly zablokovány systémem nouzového zastavení, který byl aktivován 46 minut po útoku.

Reakce týmu a důsledky pro ekosystém

Vývojáři Kelp DAO aktivovali nouzovou pauzu, která zasáhla pool vkladů, kontrakt pro výběr prostředků, oracle a samotný token rsETH. Operace byly zastaveny v hlavní síti i v několika sítích druhé vrstvy (L2). Incident vyvolal paniku na trhu: token AAVE zlevnil o 10 % kvůli obavám z problémových dluhů na úvěrové platformě. Tým Aave zmrazil trhy rsETH ve verzích V3 a V4 a zdůraznil, že zranitelnost souvisí právě s rsETH, nikoli s jejich smart kontrakty.

Google AdInline article slot

Zranitelnost cross-chain mostů

Útok znovu upozornil na bezpečnostní problémy cross-chain mostů, které se často stávají terčem hackerů. Most standardu OFT, který používá Kelp DAO, umožňuje přesouvat tokeny mezi více než 20 blockchainy, včetně Base, Arbitrum, Linea, Blast, Mantle a Scroll. Odborníci poznamenávají, že složitost těchto systémů zvětšuje útočnou plochu a používání mixérů jako Tornado Cash ztěžuje sledování prostředků.

Co je důležité

  • Hacker vyvedl $292 milionů, což představuje 18 % všech tokenů rsETH.
  • Útok byl umožněn díky zranitelnosti v cross-chain mostu standardu OFT.
  • Tým Kelp DAO zabránil dalším ztrátám ve výši $100 milionů zastavením kontraktů.
  • Incident způsobil pokles kurzu AAVE o 10 % a zmrazení trhů rsETH na platformě Aave.
  • Stopy vedou k Tornado Cash, což komplikuje identifikaci útočníka.

— Editorial Team

Advertisement 728x90

Číst dál