KuCoin
Mag-log In
language_currency
Home
Blog
Crypto Report
Mga Detalye
img

KelpDAO rsETH Exploit: Paano Naglikha ng $177M na Bad Debt sa Aave ang $292M na LayerZero Bridge Attack

2026/04/20 10:30:03

KelpDAO rsETH Exploit: Paano Naglikha ng $177M na Bad Debt sa Aave ang $292M na LayerZero Bridge Attack

Panimula

Ano ang mangyayari kapag naging isang problema na $292 milyon ang isang puntos ng pagkabigo sa isang cross-chain bridge?
 
Noong Abril 18, 2026, natanggap ng industriya ng cryptocurrency ang sagot nito sa real time. KelpDAO, isang liquid restaking protocol, ay nasakop ng 116,500 rsETH na may halagang humigit-kumulang sa $292 milyon sa pamamagitan ng isang vulnerability sa kanyang LayerZero-powered bridge. Ang pag-atake ay hindi lamang nagtanghal ng mga token—naglikha ito ng humigit-kumulang $177 milyon na masamang utang na ngayon ay nasa mga aklat ng Aave, nag-iwan sa mga depositor na naghahanap ng solusyon at nagtatanong ang komunidad ng DeFi kung mayroon bang fundamental na problema sa tiwala sa panahon ng cross-chain finance.
 

Ano ang KelpDAO at rsETH? Pag-unawa sa Liquid Restaking Space

Ang KelpDAO ay isang liquid restaking protocol na binuo sa EigenLayer, na nagpapahintulot sa mga user na mag-stake ng kanilang ETH sa pamamagitan ng protocol at tumanggap ng rsETH (restaked ETH) bilang isang liquid token na kumakatawan sa kanilang stake position. Ang konseptong ito—liquid restaking—ay nagpapahintulot sa mga user na panatilihin ang kanilang liquidity habang nananatiling kumikita ng staking rewards, pinagsasama ang yield ng native staking at ang flexibility ng isang tradeable token.
 
Naging sikat ang rsETH token dahil maaari itong gamitin sa iba’t ibang DeFi protokolo bilang collateral. Ang mga user ay nagstake ng ETH sa pamamagitan ng KelpDAO, natatanggap ang rsETH, at pagkatapos ay ginagamit ang rsETH na ito upang mag-borrow ng iba pang mga asset sa maraming chains. Ang problema? Ang cross-chain functionality na ito ay nakasalalay sa teknolohiya ng LayerZero’s bridge, partikular na ang 1-of-1 DVN (Data Verification Network) configuration na naging isang single point of failure.
 
Para sa mga baguhan sa DeFi, ang konsepto ay simpleng. Pinangako ng KelpDAO na makakakuha ang mga user ng mga reward mula sa staking habang ang kanilang ETH ay nagiging gamit sa iba pang mga protokolo. Ang pagpapatupad ay nakasalalay sa tiwala sa infrastruktura ng bridge—tiwala na bumagsak noong Abril 18 nang pahintulutan ng isang komprometadong validator ang attacker na mag-mint ng hindi suportadong rsETH. Hindi hinack ng attacker ang blockchain mismo—pinaglalaruan niya ang sistema ng pag-verify ng mensahe na nagpapahayag sa isang chain na umiiral ang token sa iba pang chain.
 

Ang April 18, 2026 Exploit: Paano Nag-unfold ang Pag-atake

Nag-unfold ang pag-eksplota sa mga yugto sa loob ng humigit-kumulang 46 minuto, ayon sa mga ulat ng insidente. Nagsimula sa 18:52 UTC noong Abril 18, 2026, exploit ng attacker ang isang kamalian sa konpigurasyon ng LayerZero bridge ng KelpDAO—lalo na ang 1/1 DVN (single signer verification) na nag-verify ng mga cross-chain message.
 
Narito ang nangyari teknikal: 
 
 
Fase Panday Epekto
1 Nakakita ng 1-of-1 DVN vulnerability ang attacker Nakalantad ang isang puntos ng pagkabigo
2 Mint ang 116,500 na unbacked rsETH ~18% ng circulating supply
3 Ipinapadala ang rsETH sa higit sa 20+ na chain Mga ari-arian na nakapinsala sa buong mundo
4 Mag-deposit ng rsETH bilang collateral sa Aave V3 Nag-borrow ng 126,000 WETH
5 Nagpapatupad ng paglabas bago ang emergency pause $292M ang nasakop
 
 
Ang attacker ay nagbigay ng stolen rsETH bilang collateral sa Aave V3 at nag-borrow ng humigit-kumulang 126,000 WETH (halaga ng humigit-kumulang $236 milyon sa panahong iyon). Ito ay naglikha ng agad na bad debt—ngayon ay may-ari ng Aave ang rsETH na halaga ay mas mababa kaysa sa WETH na ibinigay nito.
 
Napansin ng mga researcher sa seguridad na mayroong 46-minutong window sa pagitan ng pagkakatuklas ng mga kakaibang gawain at pagpapahinto ng protokolo. Kung nangyari ang pagpapahinto nang mas maaga, maaaring maiwasan ang karagdagang $200 milyon sa potensyal na mga asset na isinilid. Ang pagkaantala ay naging mahal.
 

Ang Aave Bad Debt Crisis: $177M at Patuloy

Ang epekto ng pagpapalabas ay naglikha ng krisis na mas malaki kaysa sa orihinal na pagkakawala. Aave’s WETH pool ay mayroon ngayon na halos $177 milyon sa masamang utang—ang attacker ay nag-borrow ng 126,000 ETH gamit ang stolen rsETH bilang collateral, at ang utang na ito ay ngayon ay nakafiksa sa mga termino ng ETH habang ang collateral ay bumagsak sa halaga.
 
Malinaw ang math. Kapag ibinigay ng attacker ang rsETH bilang collateral, alam nila ito ay hindi sinusuportahan. Nakita ng Aave ito bilang valid na collateral na may halagang humigit-kumulang $2,500 bawat rsETH. Lumabas ang attacker kasama ang totoong WETH. Natitira ang Aave na may rsETH na ngayon ay halos walang halaga bilang collateral.
 
Mabilis na sumagot ang pamamahala ng Aave:
 
  • Ipinagbawal ang lahat ng bagong pag-deposit ng rsETH sa mga V3 market
  • Nag-activate ng emergency powers ng Aave Guardian
  • Nagsimula ng mga pag-uusap sa pamamahala tungkol sa pagkuha ng mabuting utang
  • Bumaba ang TVL ng Aave mula sa $26.4 bilyon patungo sa $20.7 bilyon—25% pagbaba sa kabuuang halaga na nakaputol
 
Bumaba ang TVL ng Aave mula sa $26.4 bilyon patungo sa $20.7 bilyon pagkatapos ng hack sa KelpDao — 25% pagbaba sa kabuuang halaga na nakaputol
 
Para sa mga nag-deposito ng WETH sa Aave, ang sitwasyon ay nakakapanatik. Ang masamang utang ay nangangahulugan na ang pera ng mga depositor ay nasa panganib kung hindi magkakaroon ng pagkakataon para sa pagbabalik. Pinag-aaralan ng pamamahala ng Aave ang mga opsyon para sa pagbabalik sa pamamagitan ng Umbrella protocol at ang Aave treasury, ngunit wala pa ring malinaw na solusyon ang lumabas hanggang sa pagsulat nito.
 
Ang attacker ay nag-borrow ng higit sa 82,600 ETH (halos $195 milyon) mula sa Aave gamit ang stolen rsETH, at gumawa ng masamang utang na patuloy na tumataas dahil sa pagtaas ng presyo ng ETH, na ginagawang mas mahirap takpan ang utang sa pamamagitan ng mga reserve ng treasury.
 
 

Mga Buhos sa Cross-Chain Bridge: Isang Sistemikong Problema

Hindi isang hiwalay na insidente ang pag-exploit ng KelpDAO — ito ang pinakamalaking DeFi hack noong 2026 hanggang sa kasalukuyan, na sumusunod sa isang pattern ng mga vulnerability sa mga bridge na nagpapahina sa industriya. Mula sa Ronin Bridge noong 2022 ($625M) hanggang sa Multichain noong 2023, patuloy na ipinakita ng mga cross-chain bridge na sila ang pinakamahinang link sa DeFi infrastructure.
 
Ang pangunahing isyu ay arkitektural. Ang mga cross-chain bridge ay nangangailangan ng tiwala sa mga sistema ng pag-verify ng mensahe. Kapag sinasabi ng isang bridge sa Chain B na mayroon ang isang token sa Chain A, ang mensaheng iyon ay may antas ng tiwala na katumbas ng mekanismo ng pag-verify. Ang pag-atake sa KelpDAO ay nagamit ang 1-of-1 DVN configuration—isang single point of failure na hindi dapat ipinakilala para sa isang protokolo na nagpapamahala ng mga pondo ng user na nasa hundreds of millions.
 
Ang mga tugon mula sa industriya ay magkakaiba-iba, ngunit malinaw ang pattern:
 
 
Taon Insidente Pagkawala Pangunahing sanhi
2022 Ronin Bridge $625M Pagsasabwag ng private key
2023 Multichain $130M Pagkabigo sa multi-sig
2024 Mga iba’t ibang tulay Higit sa $400M Marami
2026 KelpDAO $292M 1-of-1 DVN failure
 
 
Ang kaso ng KelpDAO ay lalo pang nagdudulot ng pag-aalala dahil kilala ang vulnerability sa arkitektura ng LayerZero ngunit hindi ito nalutas sa antas ng protokolo hanggang sa magkaron ng pinsala.
 

Ang pag-intervenye at mga pagsisikap ni Justin Sun para sa pagpapabuti

Sa isang hindi karaniwang hakbang, ang tagapagtatag ng TRON Justin Sun ay nag-offer na mag-negosyo sa attacker ng KelpDAO. Ipinost ni Sun sa X (dating Twitter), “KelpDAO hacker, gaano karami ang gusto mo? Mag-usap tayo. Hindi lang naman ito worth it na ipag-utos ang Aave at KelpDAO at hayaan silang mabagsak dahil sa hack na ito.”
 
Ipinapakita ni Justin Sun ang kanyang komento sa KelpDao hack
 
Ang attacker ay nag-borrow ng humigit-kumulang 126,000 ETH, gumawa ng utang na nakafiksa sa mga term ng ETH. Habang tumataas ang presyo ng ETH, tumataas din ang bigat ng utang sa treasury ng Aave at sa Umbrella protocol. Ang pag-intervene ni Sun ay nagpapakita ng pag-aalala ng mas malawak na ecosystem—hindi ito tungkol lamang sa KelpDAO o Aave, kundi tungkol sa pagpigil sa isang systemic na krisis na maaaring makaaapekto sa mga lending markets sa buong DeFi.
 
Ang nasaktan na rsETH ay na-flag at na-freeze sa maraming network. Ang attacker ay may kontrol sa malaking halaga ng ETH ngunit hindi maaaring madaling lumabas sa position nang hindi nagpapalabas ng pag-freeze at pag-aaral. Ito ay naglikha ng isang standoff — may halaga ang attacker sa papel ngunit hindi maaaring ma-realize ito nang walang pakikipag-ugnayan.
 

Dapat bang mag-invest sa AAVE sa KuCoin pagkatapos ng rsETH exploit?

Ito ang tanong sa isip ng bawat DeFi investor pagkatapos ng insidente sa KelpDAO. Ang Aave ay ang pinakamalaking lending protocol sa DeFi, at ang exploit na ito ay nagpakita ng mga vulnerability na iniisip ng maraming tao na naresolba na. Narito ang tapat na pagtataya.
 

Mga dahilan para sa pagiging mapanatag

  • Kakulangan sa pagkakasiguro tungkol sa masamang utang: $177M na masamang utang ay nakaupo sa WETH pool ng Aave, at ang panahon ng pagkakabawi ay hindi malinaw
  • Baba ng TVL: 25% pagbaba ng TVL ay nagpapakita ng pagkawala ng tiwala
  • Panganib sa cross-chain: Gumagamit ang Aave ng mga third-party bridge para sa mga cross-chain asset - anumang vulnerability sa bridge ay nagdadala ng eksposur
  • Kakulangan sa pagpapasya: Ang mga propuesta para sa pagpapalit ay patuloy na pinag-uusapan, na walang garantisadong resulta
  • Market sentiment: Bumaba ang presyo ng AAVE ng halos 10% habang inilalagay ng merkado ang posibleng mga pagkawala
 

Mga dahilan upang isipin ang AAVE

  • Posisyon ng lider sa merkado: Sa kabila ng paglabag, nananatiling pinakamalaking lending protocol ang Aave
  • Potensyal ng pagpapalikod: Ang Aave treasury at ang Umbrella protocol ay may mga yaman upang bahagya nang kumapit sa mga pagkawala kung tama itong isinasagawa
  • Kailangan ng DeFi: Ang mga lending protocol ay pangunahin—may demand kahit anong mga isyu ng indibidwal na protocol
  • Historikal na katatagan: Ang Aave ay nakaligtas sa mga nakaraang pag-atake at krisis sa merkado
  • Sagot sa pamamahala: Ang mabilis na pag-pause at pag-aktibasyon ng pamamahala ay nagpapakita ng kakayahan sa pagtugon sa krisis
 

Buod ng Pagsusuri sa Panganib

Ang pag-exploit ng KelpDAO ay nagtataguyod ng bagong kapanahunan ng panganib sa DeFi—mga cross-chain vulnerability na nakakaapekto hindi lamang sa user ng bridge kundi sa lahat ng nagbibigay ng collateral sa mga protokolo na naka-expose. Para sa Aave, ang direkta impact ay humigit-kumulang $177M na masamang utang laban sa $20.7B na natitirang TVL, humigit-kumulang 0.85% ng kabuuang deposito na nasa panganib.
 
Ang pangunahing tanong: Maaari mo ba tanggapin ang antas ng panganib sa protokol na ito? Kung nagde-deposit ka sa Aave, maintindihan na eksposed ka sa mga piliang collateral ng iba pang borrower. Ang attacker ay nag-exploit sa sistema ng collateral ng Aave, hindi sa direktang vulnerability sa deposito, ngunit ang epekto sa mga depositor ay katulad — ang kanilang pera ay ngayon nasa panganib habang nagpapagawa ang mga negosasyon sa pagbabawi.
 

Paano Mag-trade ng AAVE sa KuCoin

Para sa mga nagdedesisyon na mag-trade ng AAVE sa KuCoin pagkatapos ng exploit, narito ang praktikal na gabay.
 

Hakbang 1: Unawain ang Panganib

Nakakaranas ang AAVE ng malaking volatility pagkatapos ng exploit. Maaaring umakyat o bumaba ang presyo ng 10-20% batay sa balita tungkol sa pagpapalit. Mag-trade lamang sa kapital na kayang mawala mo o hawakan sa mahabang panahon ng volatility.
 

Hakbang 2: I-execute ang iyong trade

Sa KuCoin, maghanap ng “AAVE/USDT” sa trading interface. Mataas ang trading volume sa panahong ito, nagbibigay ng malalim na merkado para sa parehong market at limit order.
 

Hakbang 3: Isipin ang pagpapalaki ng position

Dahil sa patuloy na kawalan ng katiyakan, isaisip ang mas maliit na position size kaysa sa karaniwan. Ang 10% pagbaba ng presyo ay nangyari na, ngunit ang panahon ng pagbabalik ay hindi pa nakukunwari. Ang dollar-cost averaging sa mga position sa pagkakasunod-sunod ay nagbabawas sa panganib ng pagpili ng panahon.
 
 

Kongklusyon

Ang pag-eksplota ng KelpDAO rsETH ay naging pinakamalaking insidente sa DeFi noong 2026 — hindi lamang dahil sa pagkawala ng $292M, kundi dahil sa mga itinuturo nito tungkol sa cross-chain infrastructure. Isang validator lamang ang nagbigay-daan sa attacker na mag-mint ng mga token na walang back-up sa higit sa 20+ chains, at pagkatapos ay gamitin ang mga ito bilang collateral sa Aave.
 
Ang $177M na masamang utang na nasa Aave ay nagpapakita ng sistemikong panganib ng DeFi. Ang pagkakasama ng mga protokolo ay nakakatulong sa mga gumagamit ngunit naglalayong lumikha rin ng mga paraan ng pagkabigo na lumalabas sa hangganan ng mga protokolo. Ang mga cross-chain bridge ay patuloy na ang pinakamahinang link ng industriya hanggang sa maayos ang mga pagsasabay na pagsasabay na nagtataglay ng mga konfigurasyon na may iisang punto ng pagkabigo.
 
Para sa mga participant sa DeFi, ang aral ay hindi ang pagbubuwis ng espasyo — kundi ang pag-unawa sa mga panganib nang mas tiyak. Ang attacker ay may $292M sa mga itinuturing na ari-arian na hindi nila madaling ilikuid. Para sa Aave naman, ang pagkuha muli ay nangangailangan ng mga mekanismo na pinagbabayaran ng governance na walang garantisadong timeline. Ang protocol ay nakaligtas sa mga nakaraang hamon, ngunit ipinakita ng insidente na ito ang mga limitasyon na nangangailangan ng patuloy na struktural na tugon.
 

Mga Karaniwang Tanong

Tanong: Ligtas ba ang aking ETH sa Aave pagkatapos ng pag-atake sa KelpDAO?
Mayroong $177M na masamang utang sa WETH pool ng Aave, ngunit ito ay bumababa sa higit sa 1% ng kabuuang TVL ($20.7B). Aktibong pinag-uusapan ng governance ang mga opsyon para sa pagkuha muli. Obserbahan ang mga pahayag ng governance ng Aave para sa mga update tungkol sa mga timeline at mekanismo ng pagkuha muli.
 
Ano ang nangyari sa nasakop na rsETH?
A: $292M sa rsETH ay patuloy na nakalabel sa mga chain. Hindi madali para sa attacker na mag-liquidate ng mga ito nang walang pag-trigger ng pagpapahinga. Binigyan ni Justin Sun ng pampublikong alok na mag-negosyo sa attacker para sa pagbabalik ng pera.
 
Sino ang responsable sa KelpDAO exploit?
Ang teknikal na analisis ay nagtuturo sa pagpapabaya sa 1-of-1 DVN configuration ng LayerZero. Pinayagan nito ang attacker na magsagawa ng pagpapalit ng cross-chain na mensahe at mag-mint ng hindi suportadong rsETH. Ang vulnerability ay nasa bridge setup ng KelpDAO, hindi sa core protocol ng LayerZero.
 
Tanong: Babalik ba ng Aave ang $177M na masamang utang?
Ang Aave governance ay nag-aaral ng pagbabalik sa pamamagitan ng Umbrella protocol at mga reserve ng treasury. Wala pa kong tiyak na timeline. Ang attacker ay nag-borrow ng 126,000 ETH gamit ang hindi suportadong collateral—ang pagbabalik ay nangangailangan ng pakikipagtulungan ng hacker o pagkakapalubag-palubag na pinagkukunan ng governance.
 
Tanong: Dapat ba akong iwasan ang DeFi pagkatapos ng exploit na ito?
Ang pag-exploit sa KelpDAO ay nagpapakita ng mga panganib sa cross-chain ngunit hindi ito nagpapahiwatig na lahat ng DeFi protocols ay hindi ligtas. Unawaan ang iyong eksposur sa mga cross-chain asset at i-audit ang mga konfigurasyon ng bridge ng mga protocol na ginagamit mo. Ang diversifikasi sa iba’t ibang protocols at matalinong pag-size ng position ay patuloy na mga matalinong estratehiya.
 
 

Disclaimer: AI technology (powered ng GPT) ang ginamit sa pag-translate ng page na ito para sa convenience mo. Para sa pinaka-accurate na impormasyon, mag-refer sa original na English version.