کمتر از یک روز پس از اینکه مهاجمان ۲۹۱ میلیون دلار ارز دیجیتال را از زیرساختهای مرتبط با پروژه مالی غیرمتمرکز Kelp DAO تخلیه کردند، کاربران Aave، یکی از پروتکلهای آزمودهشده دیفای، در بحبوحه بحران نقدینگی برای برداشت وجوه با مشکل مواجه شدند.
این پروتکل وامدهی در پستی در X اعلام کرد که یک پل که معمولاً به کاربران امکان میدهد دارایی به نام rsETH را از یک شبکه به شبکه دیگر منتقل کنند، روز شنبه مورد سوءاستفاده قرار گرفت، که Aave را وادار به مسدود کردن بازارهای مرتبط با توکنی کرد که مهاجمان برای قرض گرفتن وجوه از پلتفرم استفاده کرده بودند.
در همین حال، Kelp DAO در پستی در X اعلام کرد که "قراردادهای rsETH را" در سراسر شبکه اصلی اتریوم و چندین شبکه مقیاسپذیری لایه ۲ متوقف کرده است تا فعالیت مشکوک را بررسی کند.
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
— Kelp (@KelpDAO) April 18, 2026
فعالیت مهاجمان در Aave باعث شد که به اصطلاح نرخ بهرهبرداری یک استخر وامدهی اصلی به ۱۰۰% برسد، که دادههای Aavescan نشان داد که کاربرانی که قبلاً اتریوم و اتریوم رپشده را واریز کرده بودند، برای برداشت نقدینگی کمی یا اصلاً نقدینگی ندارند.
یک ساعت قبل از اینکه Aave بازارها را قفل کند، شرکت امنیت بلاکچین PeckShield یک تراکنش را پرچمگذاری کرد که نشان میداد ۱۱۶,۵۰۰ rsETH، به ارزش ۲۹۱ میلیون دلار در آن زمان، به یک کیف پول جدید سرازیر شده است.
مهاجمان با rsETH که به طور مخرب از پل آزاد شده بود، فرار نکردند. بلکه آنها از Aave برای قرض گرفتن وجوه عادی استفاده کردند و "بدهی بد عظیمی" ایجاد کردند، همانطور که فرانچسکو آندرهاولی، رئیس روابط توسعهدهندگان در Consensys و MetaMask، در پستی در X گفت. (سلب مسئولیت: Consensys یکی از بسیاری سرمایهگذاران در Decrypt مستقل تحریریه است.)
بر اساس CoinGecko، توکن حاکمیتی Aave روز یکشنبه به ۹۰.۱۳ دلار سقوط کرد که ۱۶% کاهش نسبت به روز گذشته داشت. اتریوم نیز در همان دوره ۲% کاهش یافت و به ۲,۳۰۰ دلار رسید.
همانطور که کاربران برای برداشت از Aave با مشکل مواجه شدند، شروع به وام گرفتن در مقابل سپردههای خود در استیبلکوینها کردند، که نقدینگی را بیشتر تحت فشار قرار داد و نشانهای از "اثرات ثانویه منفی" بود، همانطور که monetsupply.eth، رئیس استراتژی با نام مستعار در پروژه DeFi Spark، در پستی در X گفت.
اکسپلویت Kelp DAO و پیامدهای بعدی آن در Aave، موج عظیمی از برداشتها را از چندین پروتکل DeFi، حتی آنهایی که تحت تأثیر قرار نگرفته بودند، به دنبال داشت، همانطور که 0xngmi، همبنیانگذار ناشناس ارائهدهنده داده DefiLlama، گفت. آنها در پستی در X گفتند که تنها از Aave تا اوایل یکشنبه، کاربران به صورت خالص ۶.۲ میلیارد دلار برداشت کرده بودند.
The Aave situation is bad and getting worse. Multiple other pools are hitting 100% utilization, leaving lenders stuck and the protocol at risk of further bad debt.
Lending rates have increased to 10-15%, a notable increase but still not an appropriate reward for the perceived…
— Quit (@0xQuit) April 19, 2026
با گسترش به ظاهر سرایت، آخرین اکسپلویت دیفای "مهمات زیادی" برای منتقدانی فراهم میکند که به سیستمهایی که به دنبال جایگزینی واسطههای مالی سنتی با کد هستند، بدبیناند، همانطور که سلمان بنایی، مشاور عمومی در Plume، شبکهای متمرکز بر توکنیزاسیون، در پستی در X گفت.
Kelp DAO توکن rsETH را صادر میکند، یک توکن سهامداری نقد که به کاربران امکان میدهد پاداشهای سهامگذاری اتریوم و بازسهامگذاری EigenLayer را کسب کنند. این توکن به عنوان یک "رسید" قابل معامله برای سپردهگذاران Kelp DAO عمل میکند. پل Kelp DAO بر پایه زیرساخت طراحی شده توسط LayerZero ساخته شده است، پروتکلی که به برنامههای DeFi اجازه میدهد تا پیامها را ارسال کرده و داراییها را در بلاکچینها منتقل کنند.
استیسی مور، یک محقق برجسته بلاکچین، در پستی در X گفت که به نظر میرسید این اکسپلویت بر یک نقطه شکست واحد تکیه دارد. او نوشت که یک پیام "شبح" که توسط مهاجمان استفاده شد، اساساً پل Kelp DAO را فریب داد تا rsETH را در اتریوم آزاد کند بدون اینکه مقدار متناظری از توکنها را از گردش در لایه ۲ اتریوم Unichain حذف کند.
با این وجود، برخی ناظران مشتاق یافتن راهی رو به جلو بودند، از جمله کارآفرین ارز دیجیتال و بنیانگذار ترون، جاستین سان. او تلاش کرد مذاکره کند و استدلال کرد که مهاجمان در نهایت برای خرج کردن وجوه سرقتی با مشکل مواجه خواهند شد.
او در پستی در X از آنها پرسید: "چقدر میخواهید؟" "به سادگی ارزشش را ندارد که هم Aave و هم Kelp DAO را قربانی کنید و اجازه دهید به خاطر این هک از بین بروند."
