Powrót do strony głównej

Kradzież $292 mln z Kelp DAO: szczegóły ataku przez most

Atak hakerski na protokół Kelp DAO doprowadził do utraty $292 mln przez podatność w moście międzyłańcuchowym. Zespół zatrzymał kontrakty, zapobiegając dodatkowym stratom. Incydent spowodował spadek AAVE i zamrożenie rynków rsETH.

Największy atak hakerski roku: $292 mln skradzione z Kelp DAO
Advertisement 728x90

Największa kradzież roku: haker wyprowadził 292 mln USD z protokołu Kelp DAO przez most międzyłańcuchowy

Atak hakerski na protokół płynnego restakingu Kelp DAO doprowadził do utraty ponad 116 000 tokenów rsETH, co odpowiada około 292 mln USD. Incydent miał miejsce wieczorem 20 kwietnia 2026 roku i stał się jednym z największych w historii DeFi. Napastnik wykorzystał lukę w moście międzyłańcuchowym standardu OFT, co pozwoliło na wyprowadzenie środków w ciągu kilku minut. Zespół projektu szybko wstrzymał działanie kontraktów, zapobiegając dodatkowym stratom w wysokości 100 mln USD.

Mechanizm ataku i skala szkód

Napastnik wcześniej przygotował portfel, zasilając go przez mikser Tornado Cash około 10 godzin przed atakiem. O 17:35 UTC wywołano funkcję lzReceive w kontrakcie LayerZero, po czym most automatycznie przetransferował 116 500 tokenów rsETH (około 18% całkowitej emisji wynoszącej 630 000 tokenów) na adres kontrolowany przez hakera. Sieci Ethereum i Arbitrum poniosły główne straty. Próby wyprowadzenia kolejnych 40 000 rsETH (100 mln USD) zostały zablokowane przez system awaryjnego zatrzymania, uruchomiony 46 minut po ataku.

Reakcja zespołu i konsekwencje dla ekosystemu

Deweloperzy Kelp DAO aktywowali awaryjną pauzę, która objęła pulę depozytów, kontrakt wypłat, oracle i sam token rsETH. Operacje zostały wstrzymane w sieci głównej oraz kilku sieciach drugiej warstwy (L2). Incydent wywołał panikę na rynku: token AAVE potaniał o 10% z powodu obaw o problematyczne długi na platformie kredytowej. Zespół Aave zamroził rynki rsETH w wersjach V3 i V4, podkreślając, że luka dotyczy właśnie rsETH, a nie ich smart kontraktów.

Google AdInline article slot

Podatność mostów międzyłańcuchowych

Atak ponownie zwrócił uwagę na problemy bezpieczeństwa mostów międzyłańcuchowych, które często stają się celem hakerów. Most standardu OFT używany przez Kelp DAO umożliwia przenoszenie tokenów między ponad 20 blockchainami, w tym Base, Arbitrum, Linea, Blast, Mantle i Scroll. Eksperci zauważają, że złożoność takich systemów zwiększa powierzchnię ataku, a korzystanie z mikserów takich jak Tornado Cash utrudnia śledzenie środków.

Co ważne

  • Haker wyprowadził 292 mln USD, co stanowi 18% wszystkich tokenów rsETH.
  • Atak był możliwy dzięki luce w moście międzyłańcuchowym standardu OFT.
  • Zespół Kelp DAO zapobiegł dodatkowym stratom w wysokości 100 mln USD, zatrzymując kontrakty.
  • Incydent spowodował spadek kursu AAVE o 10% i zamrożenie rynków rsETH na platformie Aave.
  • Ślady prowadzą do Tornado Cash, co utrudnia identyfikację napastnika.

— Editorial Team

Advertisement 728x90

Czytaj dalej