শনিবার ও রবিবার KelpDAO-এ $292 মিলিয়নের একটি দুর্নীতি ডিসেন্ট্রালাইজড ফাইন্যান্সের সম্পূর্ণ ক্ষেত্রে একটি ব্যাপক পিছিয়ে যাওয়ার কারণ হয়েছিল, যা DeFi শিল্পে প্রায় $10 বিলিয়ন তুলে নিয়েছে এবং বেশ কয়েকটি প্রোটোকলকে rsETH-এর সাথে সংযুক্ত বাজারগুলি জমে যাওয়ার জন্য বাধ্য করেছে।
শনিবার রাতের দিকে একজন আক্রমণকারী কেল্পডিওএএর ক্রস-চেইন ব্রিজ থেকে প্রায় ১১৬,৫০০ rsETH প্রতিনিধিত্বকারী টোকেন চুরি করে। CryptoSlate ডেটা অনুযায়ী, চুরি করা টোকেনগুলির মূল্য তখন প্রায় ২৯২ মিলিয়ন ডলার ছিল।
কেল্পডিওএএস ইথেরিয়াম জমা দেওয়া ব্যবহারকারীদের রসইথ জারি করে। প্ল্যাটফর্মটি তারপর সেই ইথেরিয়ামকে রিস্টেকিং প্ল্যাটফর্ম আইগেনলেয়ার এর মাধ্যমে বিনিয়োগ করে স্টেকিংয়ের স্ট্যান্ডার্ড রিটার্নের উপরে অতিরিক্ত আয় উৎপন্ন করে।
2026 এর রিপোর্টে কেল্পডিওএএর ক্ষতি এখন এই বছরের আগের আক্রমণগুলিকে ছাড়িয়ে সবচেয়ে বড় DeFi এক্সপ্লয়িট হিসাবে দাঁড়িয়েছে।
কেল্পডিওএআই কিভাবে 292 মিলিয়ন ডলারের জন্য দুর্নীতির শিকার হয়েছিল
rsETH ব্লকচেইনের মধ্যে নির্দেশ এবং সম্পদ স্থানান্তর করে এমন LayerZero এর মাধ্যমে ব্যাপক বাজারে প্রচলিত।
ইথেরিয়াম মেইননেটের সাথে ইউনিচেইন লিঙ্ক করা রুটটিতে এক্সপ্লয়িট আক্রমণ হয়েছিল, এটি ব্যাখ্যা করেছেন ইয়ার্ন ফাইন্যান্সের কোর ডেভেলপার ব্যান্টেগ explained ।
অন-চেইন বিশ্লেষকের মতে, আক্রমণকারী একটি প্রতারণামূলক বার্তা পাঠিয়েছিল যা সিস্টেম বৈধ হিসাবে গ্রহণ করেছিল, যার ফলে ইথেরিয়াম-পাশের অ্যাডাপ্টার rsETH রিজার্ভ মুক্ত করেছিল।
এই পথটি একটি একক-একক ডিসেন্ট্রালাইজড যাচাইকারী নেটওয়ার্ক পথ হিসাবে কনফিগার করা হয়েছিল, যার মধ্যে দ্বিতীয় যাচাইকারী ছিল না যারা লেনদেনটি চিহ্নিত করতে পারত।
বান্টেঙ বলেন যে, ক্ষতিকর লেনদেন, যার নন্স 308 হিসাবে চিহ্নিত করা হয়েছে, তা 17:35 UTC-এ যাচাই করা হয়েছিল এবং প্রেরণ করা হয়েছিল।
আক্রমণের পর, কেল্পডিওএএসের আপাতকালীন মাল্টি-সিগনেচার ওয়ালেট প্রোটোকলের কোর কন্ট্রাক্টগুলি ফ্রিজ করে দেয়। এটি আরও দুটি চেষ্টা বন্ধ করে দেয়, যা একসাথে আরও প্রায় 100 মিলিয়ন ডলার rsETH সরিয়ে ফেলতে পারত।
প্রাথমিক চুরি করা অর্থগুলি Tornado Cash-এর মাধ্যমে স্থানান্তরিত হয়েছিল, যার ফলে প্রোটোকলের প্রতিক্রিয়া ক্ষতি রোধ করার আগেই পথ অদৃশ্য হয়ে যায়।
এর মধ্যে, প্রতিষ্ঠিত রিজার্ভ-সমর্থিত ওয়্যাপ্পড rsETH দ্বিতীয় নেটওয়ার্কগুলিতে প্রবাহিত হয়েছে, যার মধ্যে রয়েছে Base, Arbitrum, Linea, Blast, Mantle এবং Scroll। যখন সেই রিজার্ভগুলি শেষ হয়ে গেল, তখন Ethereum-এর বাইরে rsETH ধারণকারী ব্যবহারকারীরা রিডিমশন এবং সমর্থন নিয়ে বাড়তি অনিশ্চয়তার মুখোমুখি হয়।
এবং সেই চাপ দ্রুত বাকি মার্কেটে ছড়িয়ে পড়ে।
এভ সবচেয়ে বেশি আঘাত পায়
সবচেয়ে গুরুতর পরবর্তী কম্পনটি Aave-এ আঘাত হানে, যা সবচেয়ে বড় ক্রিপ্টো ধার প্রদান প্ল্যাটফর্ম, যেখানে আক্রমণকারী অপরাধী চুরি করা rsETH-কে জামানত হিসেবে জমা দিয়েছে বলে অভিযোগ।
আক্রমণের সময়কালে, এইভের মূল্য অরাকলগুলি rsETH-এর সাধারণ পিগের কাছাকাছি পড়তে থাকে, যা প্রোটোকলকে দুর্বল প্রতিজ্ঞানের বিপরীতে 106,467 ETH জারি করতে সক্ষম করে।
এর ফলে প্ল্যাটফর্মটি একটি সম্ভাব্য 236 মিলিয়ন ডলারের খারাপ ঋণের ঝুঁকির সম্মুখীন হয় এবং বের হওয়ার জন্য একটি দ্রুত প্রবাহ শুরু হয়।
DeFiLlama-এর ডেটা অনুযায়ী, ব্যবহারকারীদের ফান্ড তুলে নেওয়ার কারণে এইভের জমা মোট মূল্য $26 বিলিয়নের বেশি থেকে প্রায় $20 বিলিয়নে নেমে আসে।
ক্ষতি সম্প্রতি প্ল্যাটফর্মের সবচেয়ে তীব্র পুলব্যাকগুলির একটি হয়ে উঠেছিল এবং একটি ব্রিজ এক্সপ্লয়িটকে DeFi-এর সবচেয়ে বড় ঋণ বিনিয়োগ কেন্দ্রের জন্য একটি তরলতা ঘটনায় পরিণত করেছিল।
অন-চেইন বিশ্লেষকদের মতে, ডিফি প্ল্যাটফর্মে বড় ETH ধারকরা এই পদক্ষেপকে ত্বরান্বিত করেছেন।
প্রেক্ষাপটে, ট্রনের প্রতিষ্ঠাতা জাস্টিন সানঅনুসারে একক লেনদেনে 65,580 ETH, যা প্রায় 154 মিলিয়ন ডলারের সমান, তিনি তুলে নিয়েছেন।
এই ধরনের উত্তোলন বৃদ্ধি পাওয়ার সাথে সাথে Aave-এর ETH ব্যবহারের হার ১০০% এ পৌঁছেছে, যার ফলে প্ল্যাটফর্মে উপলব্ধ সমস্ত ইথার ধার করা বা উত্তোলন করা হয়েছে।
এর মধ্যে, চাপটি আভের মার্কেট মূল্যেও ছড়িয়ে পড়ে। ট্রেডারদের গভীর ক্ষতির সম্ভাবনাকে বিবেচনায় রেখে AAVE গভর্নেন্স টোকেন 18% এর বেশি পতন হয়।
এটি বড় AAVE ওয়ালেটগুলির ভারী বিক্রয়ের কারণে আরও খারাপ হয়েছিল। ব্লকচেইন বিশ্লেষণ প্ল্যাটফর্ম Lookonchain রিপোর্ট করেছে যে smaugvision নামে চিহ্নিত একটি সংস্থা 2.06 মিলিয়ন ডলারের বিনিময়ে 20,000-এর বেশি AAVE বিক্রি করেছে, যখন আরেকজন বিনিয়োগকারী 2.05 মিলিয়ন ডলারের বিনিময়ে একই পরিমাণ বিক্রি করেছেন। একটি তৃতীয় ওয়েল প্রায় 19,700 AAVE ওয়্যাপড বিটকয়েন এবং ETH-এর বিনিময়ে বিক্রি করেছে।
এই সমস্যাগুলির প্রতিক্রিয়ায়, এইভ দুটি ভার্সন V3 এবং V4-এ rsETH মার্কেটগুলি ফ্রিজ করে দেয়। প্ল্যাটফর্মের প্রতিষ্ঠাতা স্টানি কুলেচভএক্স-এ বলেন:
Aave V3 এবং V4-এ rsETH ফ্রিজ করা হয়েছে, এই সম্পদের কোনো ধার ক্ষমতা নেই, যেহেতু Aave-এর বাইরে KelpDAO ব্রিজ এক্সপ্লয়িট ঘটেছে। Aave V3 এবং V4 উভয়ই rsETH-এর প্রতি আর কোনো প্রসারিত ঝুঁকি রাখে না।
ডিফি-এ সংক্রমণ ছড়িয়ে পড়ছে
আক্রমণের কারণে এইভ ছাড়াও অন্যান্য ডিফি প্রোটোকলগুলিতেও তাদের প্ল্যাটফর্ম থেকে উল্লেখযোগ্য পরিমাণে তহবিল তুলে নেওয়া হয়েছে।
0xngmi, ডিফিল্লামা-এর প্রতিষ্ঠাতা, জানিয়েছেন যে এই ঘটনাটি ডিফি সেক্টরে $10 বিলিয়নের পতন ঘটিয়েছে। এর মধ্যে রয়েছে Aave থেকে $6 বিলিয়নের বহির্গমন।
উল্লেখযোগ্যভাবে, DeFiLlama-এর ডেটা দেখায় যে এপ্রিল ১৮-এ প্রায় $99 বিলিয়ন থেকে প্রেস টাইম পর্যন্ত DeFi প্রোটোকলগুলির জন্য TVL 10% কমে $89 বিলিয়ন হয়েছে।
এর মধ্যে, এই ঘটনাটি কয়েকটি DeFi প্ল্যাটফর্মকে তাদের সংকটগ্রস্ত rsETH টোকেনের প্রতি নিজেদের প্রসার কমানোর জন্য দ্রুত পদক্ষেপ নিতে বাধ্য করেছে।
ডিফি বিশ্লেষক ইগনাস চিহ্নিত করেছেন আরও আটটি ডিফি প্রোটোকল, যার মধ্যে রয়েছে Lido, SparkLend, Fluid, Compound এবং Euler, যারা তাদের rsETH ধার ব্যবসায়িক বাজারগুলি জমে গেছে।
তিনি যোগ করলেন:
আমি ধরে নিচ্ছি লেয়ারজিরোও প্রভাবিত হয়েছে, কারণ rsETH এল২-এর মাধ্যমে ব্রিজ করা হয়েছিল, তাই আমি চিন্তা করছি এল২-এর rsETH এখন অকার্যকর হয়ে গেছে কিনা।
এর মধ্যে, Ethena, সিনথেটিক USDe ডলারের ডেভেলপার, সতর্কতামূলকভাবে তার লেয়ারজিরো ব্রিজগুলি স্থায়ীভাবে বন্ধ করে দিয়েছে, যখন বলেছে যে এটি rsETH-এর প্রতি কোনো প্রভাবিত নয়।
এই পদক্ষেপগুলি দেখিয়েছে যে rsETH কতটা প্রচুরভাবে DeFi-এর মধ্যে এমবেড করা হয়েছিল, কারণ এটি ঋণ বাজার, ভল্ট পণ্য এবং স্মুথ ক্রস-চেইন ট্রান্সফার এবং রিজার্ভ ব্যাকিং-এর উপর নির্ভরশীল কলাটারাল স্ট্র্যাটেজিগুলিতে গভীরভাবে ব্যবহৃত হয়েছিল।
যখন সেই আত্মবিশ্বাস দুর্বল হয়ে পড়ল, প্রোটোকলগুলি আরও বেশি তুলে নেওয়া বা মূল্যের বিকৃতির কারণে ক্ষতি আরও বাড়ানোর আগে ঝুঁকি সীমাবদ্ধ করার জন্য সরানো হয়েছিল।
এই চাপ এটিও প্রকাশ করেছে যে কীভাবে মূলধন তখনই কত দ্রুত সরে যায় যখন জামানতের গুণগত মান নিয়ে প্রশ্ন উঠে। একটি স্থানে ব্রিজ এক্সপ্লয়িট যথেষ্ট ছিল কয়েক ঘন্টার মধ্যে বহু বাজারে ঝলকানি ছড়িয়ে দিতে, যা প্ল্যাটফর্মগুলিকে এমনকি তাদের নিজস্ব চুক্তিগুলির সরাসরি লঙ্ঘন না হওয়াও কার্যক্রম স্থগিত করতে বাধ্য করেছিল।
ক্রিপ্টো সম্প্রদায় ডিফি ব্রিজ হ্যাকের জন্য সমাধানের আহ্বান জানায়
বিটওয়াইজের মাল্টি-স্ট্র্যাটেজি সলিউশনস এবং ডিফি স্ট্র্যাটেজিসের প্রধান জোনাথন ম্যান বলেছেন:
এটি আরেকটি বাধা, কিন্তু আমরা আরও শক্তিশালীভাবে ফিরে আসতে পারি। আমাদের শিল্প হিসাবে, আমাদের সম্মিলিতভাবে আমাদের খেলা উন্নত করতে হবে যাতে আমরা অর্থনীতির ভবিষ্যতকে দৃঢ় ভিত্তির উপর গড়ে তুলতে পারি।
এর মধ্যে, কেল্পডিওএএস এক্সপ্লয়িটটি ধার প্রোটোকল এবং টোকেন প্রকাশকদের দ্বারা ব্রিজড বা কম ট্রেড হওয়া সম্পদকে লক্ষ্য করে হ্যাকের ক্ষতি সীমিত করার উপায় নিয়ে ব্যাপক আলোচনাকে উদ্দীপিত করেছে।
Monad-এর সহ-প্রতিষ্ঠাতা কিওন হন বলেছেন যে পুলড লেন্ডিং প্রোটোকলগুলি একটি সম্পত্তি জমা দেওয়া এবং প্রতিজ্ঞাপত্র হিসাবে ব্যবহার করার গতির উপর হার সীমা আরোপ করার বিষয়ে বিবেচনা করা উচিত।
এই মডেলের অধীনে, একটি সম্পদ যার বর্তমান সার্কুলেটিং সরবরাহ $100 মিলিয়ন এবং ঔপচারিক ক্যাপ $300 মিলিয়ন, তা একক বার্স্টে সম্পূর্ণ ক্যাপে সরাসরি পৌঁছাতে পারবে না। বরং, সিস্টেমে অনুমোদিত সরবরাহ একটি নির্দিষ্ট সময়কালের মধ্যে ধীরে ধীরে বৃদ্ধি পাবে, যেমন 10 মিনিট বা কয়েক ঘন্টা।
হন বলেছেন যে এই পদ্ধতিটি একটি এক্সোটিক সম্পদ যখন দুর্নীতির শিকার হয়, বিশেষ করে অসীম-মিন্ট বাগ সহ ক্ষেত্রে, উপলব্ধ বের হওয়ার পথগুলিকে সংকীর্ণ করবে।
তিনি যুক্তি দেন যে ক্ষতির পরিমাণ প্রায়শই মিন্টের আকার দ্বারা নির্ধারিত হয় না, বরং বাজার প্রতিক্রিয়া জানানোর আগে কতটা ক্ষতিগ্রস্ত সম্পদকে ঋণ ব্যবস্থা বা অন্যান্য তরল বের হওয়ার পথে বিক্রি করা যায় তার উপর নির্ভর করে।
এই কাঠামোর মধ্যে, বড় ঋণ প্রোটোকলগুলি মূল রিলিজ ভালভ হয়ে ওঠে, কারণ ডিসেন্ট্রালাইজড এক্সচেঞ্জ তরলতা প্রায়শই একটি বড় এক্সপ্লয়িটকে শোষণ করতে পর্যাপ্ত সীমিত।
তিনি বলেন যে সম্পদ জারিকারীদেরও কঠোর সীমাবদ্ধতার প্রতি আগ্রহ থাকা উচিত, বিশেষ করে যখন তারা বিলম্বিত রিডেমপশন সহ রসিদ টোকেন জারি করে। সেই ক্ষেত্রে, জারিকারীকে অবশ্যই আক্রমণকারীর থেকে তাৎক্ষণিক রিডেমপশনের চাপের মুখোমুখি হতে হয় না, কিন্তু নিচের পথগুলি সীমিত থাকলেও তিনি লাভবান হন।
হন এই উদাহরণ হিসেবে হাইপারব্রিজ DOT এক্সপ্লয়িট এবং রেসলভ ঘটনাকে উল্লেখ করেন যেখানে হ্যাক করা সম্পদ থেকে বের হওয়ার জন্য উপলব্ধ পথগুলি সীমিত থাকার কারণে ক্ষতি আরও ভয়াবহ পর্যায়ে পৌঁছায়নি।
ইথেনার প্রতিষ্ঠাতা গাই ইয়াং, অনুমোদন করেছেন যে ইস্যুকারীদের মিন্ট এবং রিডিমপশন লেয়ারে রেট লিমিট যোগ করা উচিত, এবং LayerZero-এর OFT স্ট্যান্ডার্ডের উপরে কাস্টম থ্রটলসও যোগ করা উচিত।
ডিফি ব্যবহারকারীরা $292 মিলিয়নের এক্সপ্লয়েটের কারণে $10 বিলিয়ন মার্কেট থেকে তুলে নেয়, যা ব্যাংক-রানের ছবি তৈরি করেছে DeFi users pull $10 billion out of the market as $292 million exploit sparks bank-run optics প্রথম প্রকাশিত হয় CryptoSlate.