Największe (dotąd) włamanie roku: platforma DeFi zhakowana, setki milionów dolarów strat
Platforma Kelp DAO, drugi co do wielkości protokół płynnego restakingu w ekosystemie Ethereum, padła ofiarą włamania hakerskiego. W wyniku ataku, do którego doszło w sobotę, 18 kwietnia 2026 roku, o godzinie 17:35 UTC, platforma straciła 116 500 tokenów rsETH o wartości około 293 milionów dolarów. To największy jak dotąd, pod względem skali i strat, incydent z zakresu (naruszenia) cyberbezpieczeństwa – przynajmniej jak do tej pory, bowiem pierwsze miesiące bieżącego roku wydają się bardzo produktywne, jeśli chodzi o włamania .
W toku swojego ataku, anonimowy (jakżeby inaczej) atakujący wykorzystał lukę w mostku cross-chain opartym na LayerZero OFT, wywołując funkcję lzReceive w kontrakcie EndpointV2 i zlecając przelanie rezerw denominowanych w tokenach rsETH na kontrolowany przez siebie adres – które to zlecenie platforma skrupulatnie wykonała. Transakcja o hashu 0x1ae232da212c45f35c1525f851e4c41d529bf18af862d9ce9fd40bf709db4222 zakończyła się transferem całego pakietu w ciągu kilku sekund, zaś gigantyczna kwota w kryptowalutach zniknęła w odmęcie Internetu.
Token rsETH – reprezentujący ETH zrestakowane poprzez EigenLayer – był rozproszony po ponad 20 sieciach, w tym Base, Arbitrum, Linea, Blast, Mantle i Scroll. Skradzione 116 500 tokenów stanowiło około 18% całkowitej podaży dostęnej w obiegu, która wynosiła wówczas 630 000 rsETH. Rezerwy rsETH w mainnecie służyły jako pokrycie dla wersji wrapped na L2, co oznacza, że po ataku tokeny te pozostały na wielu łańcuchach bez pełnego pokrycia. Nie wiadomo, co teraz się z nimi stanie (prócz oczywistego w takiej sytuacji załamania wartości), ani też co platforma zrobi z zobowiązaniami z tego wynikającymi.
Włamać się, ukraść, pożyczyć, znów ukraść
W toku procedury wyprowadzania środków atakujący skorzystał z miksera Tornado Cash. W ciągu godzin po drenażu środków z Kelp DAO około 250 milionów dolarów skradzionych rsETH zamieniono na ETH i rozproszono po Ethereum oraz Arbitrum. Część środków posłużyła jako zabezpieczenie kredytów (naturalnie niespłacalnych) zaciągniętych w protokołach pożyczkowych: Aave V3, Compound V3 i Euler. Atakujący pożyczył ponad 236 milionów dolarów w WETH, generując w Aave nieobsługiwany dług rzędu 177 milionów dolarów, zanim protokoły te zareagowały.
Platforma Kelp DAO uruchomiła awaryjną procedurę wstrzymania operacji protokołu dopiero o godzinie 18:21 UTC – 46 minut po pierwszym drenażu. W tym oknie czasowym napastnik lub napastnicy podjęli dwie dodatkowe próby wypłaty po 40 000 rsETH każda (wartość około 100 milionów dolarów za próbę); obie zostały unieważnione po aktywacji procedury wstrzymania. Kontrakty rsETH zostały zamrożone na mainnecie i wszystkich L2. Niestety, to, czego atakujący już zdołał dokonać, wystarczyło, by wywołać szeroką falę konsekwencji.
Platforma „analizuje”, ale co ze zwrotami…?
Reakcja łańcuchowa objęła dziewięć zewnętrznych protokołów. Aave zamroziło rynki rsETH na V3 i V4. SparkLend i Fluid zrobiły to samo. Lido wstrzymało depozyty do earnETH (produktu z ekspozycją na token rsETH), choć sam protokół stakingowy Lido pozostał nienaruszony. Ethena na sześć godzin zawiesiła własne mosty LayerZero OFT w ramach szeroko rozumianej profilaktyki i jako środek ostrożności.
Incydent jest największym włamaniem wymierzonym w DeFi w bieżącym, 2026 roku, o kilka milionów dolarów przewyższającym pod względem bezpośrednich szkód finansowych atak na Drift Protocol z początku kwietnia. Zasób rsETH Adapter Kelp DAO został opróżniony, a wrapped ether pozostał rozproszony na ponad 20 łańcuchach. Kelp DAO potwierdziło „podejrzaną aktywność cross-chain” w poście z 20:10 UTC. Platforma ma współpracować z LayerZero, Unichain, audytorami oraz zewnętrznymi firmami z branży cyberbezpieczenstwa w celu analizy przyczyn i sposobu włamania.
Do tej chwili publikacji nie podano szczegółów dotyczących możliwego zwrotu środków ani finalnego bilansu strat.
