291 मिलियन डॉलर 46 मिनट में गायब, DeFi पूरी व्यवस्था को हिला दिया, Aave से निकासी असंभव हो गई। पिछले शनिवार को शाम, कई ऑन-चेन विश्लेषकों के स्क्रीन पर एक साथ rsETH के 116,500 टोकन, जिनका मूल्य लगभग 291 मिलियन डॉलर (लगभग 9,300 करोड़ रुपये) था, Kelp DAO के ब्रिज से गायब होने का संकेत मिला, जो केवल 46 मिनट में हुआ। लेकिन क्षति अभी शुरू हुई थी, क्योंकि अगले 24 घंटों में, प्रभाव Kelp तक सीमित नहीं रहा, बल्कि DeFi के सबसे बड़े कर्ज़ प्लेटफ़ॉर्म Aave तक पहुँच गया, जिससे सिस्टम से कुल 6,200 मिलियन डॉलर (लगभग 210,800 करोड़ रुपये) की निकासी हुई, जिससे "2026 का सबसे बड़ा DeFi हैक" बन गया, जो महीने की शुरुआत में Drift Protocol के हैक को पीछे छोड़ दिया। 📌 घटना का समग्र चित्र 🔹 आरोपी: Tornado Cash (धन के स्रोत को छिपाने के लिए लेन-देन मिलाने का उपकरण) के माध्यम से पहले से ही 10 घंटे पहले फंड किया गया वॉलेट। 🔹 मुख्य पीड़ित: Kelp DAO, Ethereum पर Liquid Restaking प्रोटोकॉल, जो rsETH टोकन "रसीद" के रूप में ETH जमा करने वालों को प्रदान करता है, ताकि दोहरी प्रतिफल प्राप्त हो सके। 🔹 मामूली पीड़ित: Aave, Compound और Euler — सभी rsETH को प्रतिभूति के रूप में स्वीकार करते हैं। वैश्विक LayerZero संरचना पर बना ब्रिज, 20 से अधिक चेन पर rsETH का रिज़र्व संचालित करता है — पर कैसे? केवल "एक झूठा संदेश" से ही हैक हो सका? और Restaking प्रोजेक्ट की कमजोरी कैसे Aave — जिसका TVL 26,000 मिलियन डॉलर से अधिक है — को पूरी सिस्टम में निकासी की समस्या में डाल सकती है? 1) शनिवार से 10 घंटे पहले – प्रस्तुति: Tornado Cash के माध्यम से वॉलेट में फंड्स का संचय, गैस शुल्क के लिए, साथ ही पता-ट्रैकिंग को काटने के लिए। 2) 17:35 UTC, शनिवार – ब्रिज हैक: हैकर्स ने "फेंटम मैसेज" (phantom message) Bsend किया, LayerZero EndpointV2 को मनाकर, मानने के लिए कि कोई सही संदेश किसी अन्य chain से प्राप्त हुआ है। Kelp का ब्रिज, rsETH के 116,500 टोकन Ethereum पर प्रकाशित करता है, परंतु मूल chain पर rsETH की मात्रा में सामान्य सूत्र के अनुसार कमी हुई ही नहीं — परिणामस्वरूप "एकल सफलता-बिंदु" (Single Point of Failure)। 3) तुरंत: प्रति-व्यवहार – हैकर rsETH को Aave V3, V4, Compound V3, Euler पर प्रतिभूति के रूप में प्रयोग करता है, WETH का कर्ज़ लेता है। Consensys/MetaMask के Francesco Andreoli कहते हैं: "massive bad debt" — 236 मिलियन डॉलर से अधिक का महान्‍यून। 4) 18:21 UTC – Kelp प्रतिक्रिया: 46 मिनट के हमले के बाद Kelp DAO का Emergency Multisig Ethereum mainnet और सभी Layer-2s पर rsETH smart contract को स्थगित (stop) करने का हुक्म देता है। 5) शनिवार की रात – On-chain investigators: ZachXBT सार्वजनिक सचेतवता पोस्ट करता है, DeFi पूरी सुरक्षा समुदाय संयुक्त रूप से मामले पर प्रतिक्रिया प्रदान करती है। 6) इसके तुरंत बाद – Aave पर संकट: Aave rsETH मार्केट V3 & V4 पर freeze (अवरुद्ध) करता है, SparkLend, Fluid, Lido Earn — rsETH से संबंधित सभी प्रोडक्ट्स स्थगित (pause) करते हैं। 7) रविवार सुबह – Aave: Lending Pool की Utilization Rate (संपत्ति-उपयोग-दर) 100% पहुँचती है — मतलब, ETH aur Wrapped ETHजमा करने वालों के पास ₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ₹ ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●● 8) रविवार को मध्याह्न – Withdrawal Wave: Withdrawal में असमर्थ, depositors Stablecoin borrow (उधार) करने لगते हैं — jisase liquidity aur tight ho jati hai. DefiLlama ke co-founder 0xngmi ne report kiya ki Aave se ek din mein net outflow 6,200 million USD hua — TVL ka -23%.. 9) मूल्य बढ़ना शुरू हो गया, AAVE 16% गिरकर 90.13 डॉलर पर पहुँच गया, ETH 2% गिरकर 2,300 डॉलर (लगभग 73,800 रुपये) पर आ गया। . 10) जस्टिन सन, Tron के संस्थापक, X पर पोस्ट करके हैकर के साथ सीधी बातचीत का प्रस्ताव रखा, जिसमें उन्होंने कहा, "अंततः चोरी की गई राशि भी उपयोग नहीं की जा सकती, इसलिए Aave और Kelp DAO को एक साथ बर्बाद करना सही नहीं है।" . 11) निरंतर हमले को रोक दिया गया, हैकर ने rsETH को और 2 बार निकालने की कोशिश की, जिसमें कुल 40,000 से अधिक कॉइन (लगभग 100 मिलियन डॉलर) शामिल थे, लेकिन Kelp ने contract को pause करने के तुरंत बाद हमले को रोक दिया। . 12) Kelp DAO और LayerZero की एक साझा घोषणा: दोनों पक्ष Unichain, auditors और SEAL Org—ब्लॉकचेन सुरक्षा प्रतिक्रिया संगठन—के साथ Root Cause Analysis (RCA—मूल कारण विश्लेषण) कर रहे हैं। . 🔍 DeFi संरचना पर प्रभाव . यह मामला दो बड़े दुर्बलता क्षेत्रों को सामने लाता है: पहला, cross-chain bridge का जोखिम—जहाँ एक ही chain पर कोड सुरक्षित हो सकता है, लेकिन message verification सिस्टम में cross-chain संचार के समय मृत बिंदु होते हैं, जिसे हम पहले Ronin, Wormhole, Nomad में देख चुके हैं। दूसरा, "एक ही प्रतिभूति पर कई प्रोटोकॉल की निर्भरता"—जब rsETH में समस्या हुई, Aave, Compound, Euler सभी तुरंत प्रभावित हो गए, हालाँकि इन प्रोटोकॉल के contract सीधे हैक नहीं हुए। . Kelp DAO की सीधी हानि 292 मिलियन डॉलर है, जिसमें से लगभग 250 मिलियन ETH में परिवर्तित हो चुके हैं। Aave की ओर से हुई हानि 196 मिलियन डॉलर है, जो Umbrella Reserve (Aave का प्रतिक्रिया कोष) से कवर किए जाने से अधिक हो सकती है, मतलब stkAAVE (AAVE, जिसे सिस्टम की प्रतिभूति के लिए स्टेक किया गया है) के होल्डर्स को शेष हानि सहनी पड़ सकती है। . एक महत्वपूर्ण प्रश्न: अगर आज आप Aave में ETH जमा करने वाले हैं, और किसी और के काल्पनिक संपत्ति के कारण पैसा निकालने में असमर्थ हैं—फिर क्या आप cross-chain DeFi पर अपना विश्वास बनाए रखेंगे? . #KelpDAO #Aave #DeFi #rsETH #LayerZero