Isang pag-atake na $292 milyon sa KelpDAO ang nagdulot ng malawakang pagbaba sa buong decentralized finance sa huling linggo, na nagbawas ng halos $10 bilyon sa buong industriya ng DeFi at nagpakailalim sa maraming protokolo na i-freeze ang mga merkado na kaugnay ng rsETH.
Nagsimula ang paglabas sa huling bahagi ng Sabado nang masira ng isang attacker ang cross-chain bridge ng KelpDAO at bawasan ang halos 116,500 rsETH. Ang mga tinatayang halaga ng mga nakuha na token ay humigit-kumulang $292 milyon noong panahong iyon, ayon sa datos ng CryptoSlate.
Ii-deposit ng KelpDAO ang rsETH sa mga gumagamit na nag-deposit ng ETH sa kanilang liquid restaking system. Pagkatapos, ipinapalabas ng platform ang mga ETH sa pamamagitan ng restaking platform na EigenLayer upang makakuha ng karagdagang yield sa itaas ng karaniwang returns sa staking.
Ang pagkawala ni KelpDAO ay naging pinakamalaking DeFi exploit ng 2026 sa ulat, na lalong lumampas sa mga dating pag-atake sa taong ito.
Paano na-exploit ang KelpDAO para sa $292 milyon
Ang rsETH ay umiikot sa mas malawak na merkado sa pamamagitan ng LayerZero, isang cross-chain messaging network na nagdadala ng mga utos at mga asset sa pagitan ng mga blockchain.
Ipinaliwanag ni Banteg, pangunahing developer ng Yearn Finance, na ang pag-atake ay tumama sa ruta na nag-uugnay sa Unichain sa Ethereum mainnet.
Ayon sa on-chain analyst, ang attacker ay nagpadala ng isang maling mensahe na tinanggap ng sistema bilang wasto, na nagpapagawa sa adapter sa Ethereum na ilabas ang mga pre-funded na rsETH reserves.
Ipinag-ayos ang ruta na ito bilang isang path ng network na decentralized verifier na isang-isa lamang, nang walang secondary verifiers na maaaring mag-flag sa transaksyon.
Sinabi ni Banteng na ang masasamang transaksyon, na nakikilala bilang nonce 308, ay na-verify at nadala sa 17:35 UTC.
Pagkatapos ng pag-atake, ang emergency multisignature wallet ng KelpDAO ay nag-freeze sa mga core contract ng protocol. Ito ay nag-block sa dalawang karagdagang pagkakataon na magkaisa ay maaaring tanggalin ang karagdagang halos $100 milyon sa rsETH.
Ang unang mga perang nasakop ay ginawa sa pamamagitan ng Tornado Cash, na nagpapalabo sa trail bago makapag-respond ang protocol upang mapigilan ang pinsala.
Samantala, ang ginamit at napapalitan na rsETH na may suporta sa reserve ay nakalipat sa iba’t ibang secondary network, kabilang ang Base, Arbitrum, Linea, Blast, Mantle, at Scroll. Pagkatapos mawala ang mga reserve na iyon, ang mga gumagamit na may rsETH sa labas ng Ethereum ay nakaharap sa pagtaas ng kakaibang pag-aalala tungkol sa pagpapalit at suporta.
At ang presyong iyon ay agad na nagbigay-daan sa karamihan ng merkado.
Ang Aave ay nakatanggap ng pinakamalaking tama
Ang pinakamalalang pagkakasunod-sunod ay tumama sa Aave, ang pinakamalaking crypto lending platform, kung saan ay sinasabing isinampa ng attacker ang nasaktan na rsETH bilang collateral.
Sa panahon ng attack window, patuloy na binabasa ng mga pricing oracle ni Aave ang rsETH malapit sa normal na peg, na nagbigay-daan sa protocol na maglabas ng 106,467 ETH laban sa kompromisong collateral.
Nanatili ang platform sa potensyal na eksposur sa bad debt na $236 milyon at nag-trigger ng pagtakas.
Data mula sa DeFiLlama ay ipinakita na bumaba ang kabuuang halagang nakaputol ng Aave mula sa higit sa $26 bilyon patungo sa halos $20 bilyon habang tinarik ng mga user ang kanilang mga pondo.
Ang pagbaba ay naging isa sa mga pinakamalalim na pagtaray sa platform sa nakaraang panahon at nagbago ang isang bridge exploit bilang isang liquidity event para sa pinakamalaking lending venue sa DeFi.
Ipinakita ng mga analista sa on-chain na ang mga malalaking holder ng ETH sa platform ng DeFi ay pinabilis ang paggalaw.
Para sa konteksto, ang tagapagtatag ng TRON na si Justin Sunay sinasabingay nag-withdraw ng higit sa 65,580 ETH, na may halagang humigit-kumulang sa $154 milyon, sa isang solong transaksyon.
Habang tumataas ang mga ganitong uri ng pagtarik, ang ETH utilization rate ng Aave ay umabot sa 100%, na nag-iwan ng lahat ng available na Ether sa platform na o ay binorow o tinarik.
Samantala, ang presyur ay nagspread din sa market price ng Aave. Bumaba ng higit sa 18% ang AAVE governance token habang inprice ng mga trader ang posibilidad ng mas malalim na pagkawala.
Ipinagpalawig ito ng malalaking pagbebenta mula sa mga malalaking wallet ng AAVE. Ang blockchain analytics platform na Lookonchain inireport na isang entidad na kilala bilang smaugvision ay nagbenta ng higit sa 20,000 AAVE para sa $2.06 milyon, habang ang isang iba pang investor ay nagbenta ng katulad na amount para sa $2.05 milyon. Ang isang ikatlong whale ay nagbenta ng halos 19,700 AAVE sa palitan ng wrapped Bitcoin at ETH.
Sa tugon sa mga isyung ito, hininto ng Aave ang mga merkado ng rsETH sa V3 at V4. Ang tagapagtatag ng platform na Stani Kulechovay nagsabi sa X:
Nakafreeze na ang rsETH sa Aave V3 at V4, walang kakayahan sa pagpapautang ang asset bilang pagsasagawa dahil sa KelpDAO bridge exploit na nangyari labas ng Aave. Walang karagdagang eksposur ang Aave V3 at V4 sa rsETH.
Nakakalat ang kontaminasyon sa DeFi
Bukod sa Aave, iba pang DeFi protocols ay naranasan din ang malaking pagtarik mula sa kanilang platform dahil sa pag-atake.
Ipinahayag ni 0xngmi, ang pseudonymous na tagapagtatag ng DeFiLlama, na ang insidente ay nag-trigger sa pagbaba ng $10 bilyon sa buong sektor ng DeFi. Kasama rito ang $6 bilyong paglabas mula sa Aave.
Nakikita, ang data mula sa DeFiLlama ay nagpapakita na bumaba ang TVL para sa mga DeFi protocol ng 10% mula sa halos $99 bilyon noong Abril 18 hanggang $89 bilyon ayon sa oras ng pagsusulat.
Samantala, ang insidente ay nagdulot din ng mabilis na pagkilos ng ilang DeFi platform upang bawasan ang kanilang eksposur sa kontrobersyal na rsETH token.
Ang DeFi analyst na si Ignas flagged ang walong karagdagang DeFi protocols, kabilang ang Lido, SparkLend, Fluid, Compound, at Euler, na nag-freeze sa kanilang rsETH lending markets.
Idinagdag niya:
Naniniwala ako na ang LayerZero ay maaaring maapektuhan din, dahil ang rsETH ay binigay mula sa L2s, kaya nag-iisip ako kung ang mga rsETH na nasa L2s ay hindi na walang halaga ngayon.
Samantala, Ethena, ang developer ng sintetikong dolyar na USDe, ay pansamantalang isinara ang mga LayerZero bridge bilang pag-iingat, habang sinasabi na walang eksposur ito sa rsETH.
Nilalarawan ng mga galaw na ito kung gaano kalawak ang rsETH na nakapaloob sa DeFi, dahil ito ay malalim na ginamit sa mga merkado ng pagpapautang, mga produkto ng vault, at mga estratehiya ng collateral na nakadepende sa magandang paglipat sa iba’t ibang chain at tiwala sa pagsuporta ng reserve.
Habang nagkamali ang tiwala, ang mga protokolo ay lumipat upang mag-ring-fence ng panganib bago mas lalo pang mapalalim ang pinsala dahil sa karagdagang pagtarik o pagbabago ng presyo.
Ang pagsabog ay nagpakita rin ng bilis kung paano maaaring lumipat ang kapital kapag ang kalidad ng collateral ay naging isyu. Sapat na ang isang bridge exploit sa isang venue upang magdulot ng malalaking epekto sa maraming merkado loob ng ilang oras, na nagpapakite sa mga platform na ipagpatawad ang kanilang aktibidad kahit na ang kanilang sariling mga kontrata ay hindi direkta na sinira.
Hiningi ng komunidad ng cryptocurrency ang solusyon sa mga hack sa DeFi bridge
Si Jonathan Man, ang Punong Tagapagpaganap ng Multi-Strategy Solutions & DeFi Strategies sa Bitwise, ay sinabi:
Ito ay isa pang pagkabigo, ngunit maaari nating muling umangat nang mas malakas. Kailangan nating lahat bilang isang industriya na magbigay ng mas mabuting pagganap upang siguraduhing binubuo natin ang hinaharap ng finansya sa matibay na mga pundasyon.
Samantala, ang KelpDAO exploit ay nagtulak din sa mas malawak na pag-uusap tungkol sa kung paano ang mga lending protocol at tagapaglabas ng token ay maaaring limitahan ang pinsalang dulot ng mga hack na nakatutok sa mga bridged o maliit na nakikipagkalakal na asset.
Si Keone Hon, co-founder ng Monad, ay sinabi na dapat isaalang-alang ng mga pooled lending protocol ang pagpapalit ng rate limits sa bilis kung gaano kalakas ang isang asset ay maaaring i-deposito at gamitin bilang collateral.
Sa ilalim ng modelo na iyon, hindi pinapayagan ang isang asset na may kasalukuyang circulating supply na $100 milyon at pormal na cap na $300 milyon na tumalon agad sa buong cap sa isang pagsabog. Sa halip, ang supply na pinapayagan sa sistema ay tataas nang paunti-unti sa isang takdang panahon, tulad ng 10 minuto o ilang oras.
Sinabi ni Hon na ang pagkakaroon ng ganitong pagkakasunod-sunod ay magpapaliit sa mga available na exit paths kapag isang exotic asset ay exploited, lalo na sa mga kaso na may infinite-mint bugs.
Nagsalita siya na ang laki ng pagkawala ay madalas na tinukoy ng mas kaunti sa sariling mint kaysa sa gaano karaming bahagi ng nasiraan na asset ang maaaring ilipat sa mga lugar ng pagpapautang o iba pang likidong labas bago magreact ang mga merkado.
Sa mga iyon, ang mga malalaking lending protocol ang naging pangunahing release valves dahil ang liquidity ng decentralized exchange ay madalas ay sobrang limitado upang makatanggap ng isang malaking exploit.
Dagdag niya na dapat may interes din ang mga tagapaglabas ng asset sa mas mahigpit na kapasidad, lalo na kapag naglalabas sila ng receipt tokens na may pagkakatigil sa pagpapalit. Sa mga kaso na iyon, ang tagapaglabas ay hindi kinakailangang eksposed sa agad-agad na presyong pagpapalit mula sa isang attacker, ngunit patuloy pa ring nakikinabang kapag ang mga downstream na ruta para lumabas ay nananatiling limitado.
Ipinahihiwatig ni Hon ang Hyperbridge DOT exploit at ang Resolv incident bilang mga halimbawa kung saan ang mga pagkawala ay nanatiling mas mababa kaysa sa mas katawang antas dahil limitado ang mga available na daanan para lumabas sa nahiwalay na asset.
Si Guy Young, tagapagtatag ng Ethena, inaprubahan ang pananaw na iyon at sinabi na dapat isaalang-alang ng mga may-ari na magdagdag ng mga limitasyon sa rate sa layer ng pagmimint at pagpapalit, pati na rin ang mga custom na throttles sa itaas ng OFT standard ng LayerZero.
Lumabas ang $10 bilyon ng mga gumagamit ng DeFi mula sa merkado habang nagdulot ng epekto tulad ng bank run ang pag-atake ng $292 milyon.