केल्पडीओए के पास $292 मिलियन का दुरुपयोग होने से सप्ताहांत में डिसेंट्रलाइज्ड फाइनेंस के भरपूर क्षेत्र में व्यापक पीछे हटने की लहर आई, जिससे डीएफआई उद्योग में लगभग $10 बिलियन की राशि निकल गई और कई प्रोटोकॉल को rsETH से जुड़े बाजारों को जमा करने के लिए मजबूर होना पड़ा।
उल्लंघन शनिवार की रात को शुरू हुआ, जब एक हमलावर ने KelpDAO के क्रॉस-चेन ब्रिज से लगभग 116,500 rsETH खाली कर दिया। CryptoSlate के डेटा के अनुसार, चोरी हुए टोकन का मूल्य उस समय लगभग 292 मिलियन डॉलर था।
KelpDAO, जो अपने लिक्विड रेस्टेकिंग सिस्टम में ETH डिपॉज़िट करने वाले उपयोगकर्ताओं को rsETH जारी करता है, फिर उन ETH को रेस्टेकिंग प्लेटफॉर्म EigenLayer के माध्यम से निवेश करता है ताकि मानक स्टेकिंग रिटर्न के अतिरिक्त अतिरिक्त आय प्राप्त की जा सके।
2026 की रिपोर्ट में KelpDAO की हानि अब इस साल के पहले हमलों को पार करके सबसे बड़ा DeFi दुरुपयोग बन गई है।
केल्पडीओ का $292 मिलियन के लिए दुरुपयोग कैसे किया गया
rsETH, LayerZero के माध्यम से व्यापक बाजार में प्रवाहित होता है, जो ब्लॉकचेन के बीच निर्देश और संपत्तियों को स्थानांतरित करने वाला एक क्रॉस-चेन मैसेजिंग नेटवर्क है।
यार्न फाइनेंस के कोर डेवलपर बैंटेग ने समझाया कि दुरुपयोग यूनिचेन और ईथेरियम मेननेट को जोड़ने वाले रूट पर हुआ।
ऑन-चेन विश्लेषक के अनुसार, हमलावर ने एक धोखेबाज संदेश भेजा जिसे प्रणाली वैध मान लिया, जिससे ईथेरियम-पक्ष एडेप्टर ने पूर्व-वित्तपोषित rsETH भंडार जारी कर दिए।
इस मार्ग को एक-एक डिसेंट्रलाइज्ड वेरिफायर नेटवर्क पथ के रूप में कॉन्फ़िगर किया गया था, जिसमें द्वितीयक वेरिफायर नहीं थे जो लेन-देन को चिह्नित कर सकते थे।
बान्टेंग ने कहा कि दुर्भावनापूर्ण लेनदेन, जिसे नॉन्स 308 के रूप में पहचाना गया था, को 17:35 UTC पर सत्यापित और वितरित किया गया था।
हमले के बाद, KelpDAO की आपातकालीन मल्टीसिग्नेचर वॉलेट ने प्रोटोकॉल के कोर कॉन्ट्रैक्ट्स को फ्रीज कर दिया। इससे दो और प्रयासों को रोक दिया गया, जो मिलकर लगभग $100 मिलियन rsETH को हटा सकते थे।
प्रारंभिक चोरी की गई राशि को Tornado Cash के माध्यम से स्थानांतरित किया गया था, जिससे प्रोटोकॉल की प्रतिक्रिया के बावजूद नुकसान को रोकना मुश्किल हो गया।
इसी बीच, निकाल लिए गए रिजर्व-समर्थित रैप्प्ड rsETH, जिसमें बेस, Arbitrum, Linea, Blast, Mantle और Scroll शामिल हैं, द्वितीयक नेटवर्क पर प्रसारित हुआ। जब ये रिजर्व समाप्त हो गए, तो Ethereum के बाहर rsETH रखने वाले उपयोगकर्ताओं को प्रतिभूति और समर्थन के बारे में बढ़ती अनिश्चितता का सामना करना पड़ा।
और वह दबाव जल्दी ही पूरे बाजार में फैल गया।
एव को सबसे भारी प्रहार झेलना पड़ा
सबसे गंभीर उपानुग्रह Aave पर टकराया, जो सबसे बड़ा क्रिप्टो उधार दें प्लेटफॉर्म है, जहां हमलावर ने चोरी किए गए rsETH को जमानत के रूप में जमा करने का आरोप लगाया गया है।
हमले की अवधि के दौरान, एव की कीमत ऑरेकल्स ने rsETH को अपने सामान्य पेग के आसपास पढ़ा, जिससे प्रोटोकॉल को संक्रमित सुरक्षा के खिलाफ 106,467 ETH जारी करने की अनुमति मिली।
इससे प्लेटफॉर्म को एक संभावित 236 मिलियन डॉलर के बैड-डेब्ट के खतरे का सामना करना पड़ा और बाहर निकलने की भागदौड़ शुरू हो गई।
डेटा DeFiLlama से दिखा कि उपयोगकर्ताओं ने निकासी करने के बाद एव की कुल बंद राशि $26 अरब से घटकर लगभग $20 अरब हो गई।
ड्रॉडाउन ने हाल के समय में प्लेटफॉर्म पर एक तीव्रतम संकोच में से एक को दर्शाया और एक ब्रिज एक्सप्लॉइट को DeFi में सबसे बड़े लेंडिंग स्थान के लिए एक तरलता घटना में बदल दिया।
ऑन-चेन विश्लेषकों ने खुलासा किया कि DeFi प्लेटफॉर्म पर बड़े ETH होल्डर्स ने इस चलन को तेज कर दिया।
संदर्भ के लिए, TRON के संस्थापक जस्टिन सनके अनुसार ने एकल लेनदेन में लगभग 154 मिलियन डॉलर के बराबर 65,580 ETH निकाल लिए।
जब इस तरह की निकासियाँ बढ़ीं, तो Aave की ETH उपयोग दर 100% हो गई, जिससे प्लेटफॉर्म पर उपलब्ध सभी ईथर या उधार लिए जा चुके थे या निकाल लिए गए थे।
इसी बीच, दबाव Aave की मार्केट कीमत में भी फैल गया। ट्रेडर्स ने गहरे नुकसान की संभावना को ध्यान में रखते हुए AAVE गवर्नेंस टोकन में 18% से अधिक की गिरावट दर्ज की।
इसे बड़े AAVE वॉलेट्स से हुई भारी बिक्री ने और बढ़ा दिया। ब्लॉकचेन विश्लेषण प्लेटफॉर्म Lookonchain ने रिपोर्ट किया कि smaugvision के रूप में पहचाने गए एक एंटिटी ने 2.06 मिलियन डॉलर के लिए 20,000 से अधिक AAVE बेच दिए, जबकि एक अन्य निवेशक ने 2.05 मिलियन डॉलर के लिए इतनी ही रकम बेची। एक तीसरा व्हेल ने लगभग 19,700 AAVE के बदले में व्रैप्ड बिटकॉइन और ETH प्राप्त किए।
इन समस्याओं के जवाब में, एव ने V3 और V4 दोनों पर rsETH बाजारों को जमा कर दिया। प्लेटफॉर्म के संस्थापक स्टानी कुलेचोवने X पर कहा:
rsETH को Aave V3 और V4 पर जमा कर दिया गया है, चूंकि Aave के बाहर KelpDAO ब्रिज के दुरुपयोग के कारण इस संपत्ति की कोई उधार शक्ति नहीं है। Aave V3 और V4 दोनों में rsETH के प्रति कोई अतिरिक्त जोखिम नहीं है।
DeFi में संक्रमण फैल रहा है
आक्रमण के कारण एवी के अलावा अन्य DeFi प्रोटोकॉल भी अपने प्लेटफॉर्म से महत्वपूर्ण निकासी का सामना कर रहे हैं।
0xngmi, डीफीलामा के अज्ञात संस्थापक ने रिपोर्ट किया कि इस घटना से डीफी क्षेत्र में $10 बिलियन की गिरावट आई। इसमें Aave से $6 बिलियन का निकास शामिल है।
ध्यान देने योग्य बात यह है कि DeFiLlama के डेटा के अनुसार, 18 अप्रैल को लगभग $99 बिलियन से DeFi प्रोटोकॉल के लिए TVL घटकर प्रेस समय तक $89 बिलियन हो गया है।
इसके बीच, घटना के कारण कई DeFi प्लेटफॉर्म ने विवादित rsETH टोकन के प्रति अपनी निर्भरता कम करने के लिए त्वरित कार्रवाई की है।
डीफाई विश्लेषक इग्नास ने आठ अतिरिक्त डीफाई प्रोटोकॉल को चिह्नित किया, जिनमें Lido, SparkLend, Fluid, Compound और Euler शामिल हैं, जिन्होंने अपने rsETH उधार बाजारों को जमा कर दिया।
उन्होंने जोड़ा:
मुझे लगता है कि लेयरज़ीरो भी प्रभावित होगा, क्योंकि rsETH L2 से ब्रिज किए गए थे, इसलिए मुझे आशंका है कि L2 पर उपलब्ध rsETH अभी बेकार हो सकते हैं।
इसी बीच, Ethena, जो सिंथेटिक USDe डॉलर का विकासकर्ता है, ने सावधानी के तौर पर अपने LayerZero ब्रिजेस को अस्थायी रूप से निलंबित कर दिया, जबकि यह बताया कि इसका rsETH से कोई संपर्क नहीं है।
इन चलनों ने यह दर्शाया कि rsETH कितना व्यापक रूप से DeFi में एम्बेडेड हो चुका था, क्योंकि इसका उपयोग ऋण बाजारों, वॉल्ट उत्पादों, और सुगम क्रॉस-चेन ट्रांसफ़र और रिज़र्व समर्थन में विश्वास पर निर्भर करने वाली प्रतिभूति रणनीतियों में गहराई से किया जाता था।
जब यह आत्मविश्वास कमजोर हुआ, तो प्रोटोकॉल ने और अधिक निकासी या कीमत में विकृति से होने वाले क्षति को गहरा होने से रोकने के लिए जोखिम को सीमित करना शुरू कर दिया।
इससे यह भी सामने आया कि जब सुरक्षा की गुणवत्ता पर सवाल उठता है, तो पूंजी कितनी तेजी से बह सकती है। एक स्थान पर ब्रिज एक्सप्लॉइट काफी था कि कुछ घंटों में कई बाजारों में झटका पहुंचा, जिससे ऐसे प्लेटफॉर्म भी अपनी गतिविधियां रोकने पर मजबूर हो गए, भले ही उनके अपने कॉन्ट्रैक्ट्स का सीधे रूप से उल्लंघन न हुआ हो।
क्रिप्टो समुदाय DeFi ब्रिज हैक्स के लिए समाधान की मांग कर रहा है
बिटवाइज के मल्टी-स्ट्रैटेजी सॉल्यूशंस और डीफी स्ट्रैटेजीज के प्रमुख जोनाथन मैन ने कहा:
यह एक और अवरोध है, लेकिन हम मजबूती से वापस आ सकते हैं। हमें, एक उद्योग के रूप में, वित्त के भविष्य को मजबूत आधारों पर बनाने के लिए एक साथ अपना स्तर बढ़ाने की आवश्यकता है।
इसी बीच, KelpDAO के एक्सप्लॉइट ने लेंडिंग प्रोटोकॉल और टोकन जारीकर्ताओं के बारे में व्यापक चर्चा को भी प्रेरित किया कि वे कैसे ब्रिज्ड या पतली तरह से व्यापारित संपत्तियों को लक्षित हैक्स से होने वाले क्षति को सीमित कर सकते हैं।
कीओन हॉन, Monad के सह-संस्थापक, ने कहा कि समूह ऋण प्रोटोकॉल को इस बात पर विचार करना चाहिए कि किसी संपत्ति को जमा करने और गिरवी रखने के लिए कितनी तेजी से इस्तेमाल किया जा सकता है, इस पर दर सीमाएं लागू की जाएं।
उस मॉडल के तहत, एक ऐसा संपत्ति जिसकी वर्तमान परिसंचरण आपूर्ति 100 मिलियन डॉलर है और औपचारिक अधिकतम सीमा 300 मिलियन डॉलर है, उसे एकल झटके में पूरी सीमा तक कूदने की अनुमति नहीं होगी। इसके बजाय, प्रणाली में अनुमति दी गई आपूर्ति एक निर्धारित अवधि के दौरान, जैसे 10 मिनट या कुछ घंटों, धीरे-धीरे बढ़ेगी।
हॉन ने कहा कि यह दृष्टिकोण एक एक्सोटिक एसेट के दुरुपयोग के समय उपलब्ध निकास के मार्गों को संकुचित कर देगा, खासकर अनंत-मिंट बग्स के मामलों में।
उन्होंने तर्क दिया कि हानि का आकार अक्सर मिंट द्वारा कम निर्धारित होता है, बल्कि इस बात पर निर्भर करता है कि संक्रमित संपत्ति का कितना हिस्सा बाजार की प्रतिक्रिया से पहले ऋण वेन्यूज़ या अन्य तरल निकास में बेचा जा सकता है।
उस ढांचे के अंतर्गत, बड़े ऋण प्रोटोकॉल मुख्य रिलीज वाल्व बन जाते हैं क्योंकि डिसेंट्रलाइज्ड एक्सचेंज तरलता अक्सर एक बड़े दुरुपयोग को अवशोषित करने के लिए पर्याप्त सीमित होती है।
उन्होंने कहा कि संपत्ति जारीकर्ताओं को भी सख्त कैप्स में दिलचस्पी होनी चाहिए, खासकर जब वे विलंबित रिडीम्पशन के साथ रसीद टोकन जारी करते हैं। इन मामलों में, जारीकर्ता आवश्यक रूप से हमलावर से तुरंत रिडीम्पशन के दबाव का सामना नहीं करता है, लेकिन जब नीचे की ओर निकास के रास्ते सीमित रहते हैं, तो वह अभी भी लाभान्वित होता है।
हॉन ने हाइपरब्रिज DOT दुरुपयोग और रेसोल्व घटना को उदाहरण के रूप में दिखाया, जहां हैक किए गए संपत्ति के लिए बाहर निकलने के उपलब्ध मार्ग सीमित होने के कारण नुकसान कम विनाशकारी स्तर पर रहा।
गे यंग, एथेना के संस्थापक, ने उस दृष्टिकोण का समर्थन किया और कहा कि प्रकाशकों को मिंट और रिडीमशन स्तर पर दर सीमाएँ जोड़ने और लेयरज़ीरो के OFT मानक के ऊपर कस्टम थ्रॉटल्स भी विचार करने चाहिए।
पोस्ट DeFi उपयोगकर्ता बाजार से $10 अरब निकाल रहे हैं क्योंकि $292 मिलियन के दुरुपयोग से बैंक-रन का दृश्य उत्पन्न हुआ पहले CryptoSlate पर प्रकाशित हुई।