एक हैक, नौ प्रोटोकॉल, $292 मिलियन गायब: केल्प एक्सप्लॉइट ने डिफाई की संक्रामक समस्या को उजागर किया
el****@gmail.com2026-04-23
एक जाली LayerZero संदेश ने Kelp DAO से $293 मिलियन निकाल लिए, जिससे नौ DeFi प्रोटोकॉल में संक्रमण फैल गया, Aave के TVL को $6.6 बिलियन तक गिरा दिया और क्रिप्टो की सबसे कमजोर कड़ी के रूप में क्रॉस-चेन इन्फ्रास्ट्रक्चर को उजागर किया।
शनिवार दोपहर को, एक हमलावर ने केल्प DAO के लेयरज़ीरो-संचालित ब्रिज पर एक नकली कमांड भेजा। ब्रिज ने उसे सही मान लिया। कुछ ही मिनटों में, rsETH के 116,500 (टोकन की कुल परिसंचारी आपूर्ति का लगभग 18%) हमलावर के वॉलेट में डाल दिए गए। जब केल्प ने अपने स्मार्ट कॉन्ट्रैक्ट्स को होल्ड पर रखा, तो चोरी हुए टोकन पहले से ही एवे, कंपाउंड और यूलर में सैकड़ों मिलियन डॉलर के अतिरिक्त रैप्ड ईथर उधार लेने के लिए संपार्श्विक के रूप में मौजूद थे। नतीजा: केल्प को लगभग $293 मिलियन का नुकसान हुआ; एवे के $6.6 बिलियन मूल्य के लॉक किए गए फंड्स चले गए; और कम से कम नौ अलग-अलग प्रोटोकॉल अपने विनिमय बाजारों को फ्रीज करने की कोशिश कर रहे थे जो उन्होंने नहीं बनाए थे।
यह सिर्फ केल्प का मुद्दा नहीं था; यह कई प्रोटोकॉल की ब्रिज पर निर्भरता से संबंधित है जो समझौता किए गए हैं — यही सोचने लायक मुद्दा है!
एक ही ब्रिज हैक कैसे एक मल्टी-प्रोटोकॉल संकट बन गया
केल्प लिक्विड रेस्टेकिंग के लिए एक प्रोटोकॉल के रूप में कार्य करता है। केल्प पर ईथर (stETH) के स्टेकर्स को rsETH नामक एक टोकन प्राप्त होता है जो पुरस्कार उत्पन्न करता है, जिसका उपयोग कई डीएफआई प्रोटोकॉल में किया जा सकता है। हालाँकि, 20 से अधिक सक्रिय नेटवर्क थे जिन पर rsETH टोकन केल्प के माध्यम से संपार्श्विक या स्टेकिंग के लिए बेट रसीदों के रूप में प्रसारित हो रहे थे, और सभी ब्रिज पर समान केल्प-होल्डिंग भंडार से जुड़े थे। इसलिए जब ब्रिज सूख गया और संपार्श्विक के रूप में प्रसारित rsETH टोकन संदिग्ध हो गए (भले ही वे कहीं से भी उत्पन्न हुए हों), जिन प्रोटोकॉल ने इन टोकन को संपार्श्विक के रूप में स्वीकार किया था, उनके पास अपने ऋणों का समर्थन करने वाले संपार्श्विक की प्रामाणिकता को सत्यापित करने का कोई साधन नहीं था — एवे, स्पार्कलेंड, फ्लूइड, यूलर, कंपाउंड और अन्य।
साइवर्स ब्लॉकचेन सिक्योरिटी ने इस मुद्दे को प्रोटोकॉल एक्सप्लॉइट के परिणामस्वरूप एक "क्रॉस-प्रोटोकॉल संक्रामक घटना" करार दिया। जबकि एवे, कंपाउंड और यूलर को अपने कॉन्ट्रैक्ट्स में कोई प्रत्ययी गलती का अनुभव नहीं हुआ, एवे ने rsETH को अपने लेंडिंग पूल में एकीकृत किया था और इसे अपने बाकी ऋणों से अलग नहीं किया था, इस प्रकार rsETH द्वारा उनके लेंडिंग पूल को होने वाले जोखिम को बढ़ा दिया। बाद में, एवे के टोकन मूल्य में 16% की गिरावट आई। एवे में लॉक किया गया कुल मूल्य (TVL) कई घंटों में $26.4 बिलियन से घटकर लगभग $20 बिलियन हो गया। एवे के पास अब rsETH और रैप्ड ईथर जोड़ियों पर केंद्रित लगभग $196 मिलियन का खराब कर्ज है, और एवे के अंब्रेला सेफ्टी फंड में अपर्याप्त भंडार हो सकते हैं।
पूंजी दक्षता समझौता जो कोई नहीं करना चाहता था
माइकल एगोरव, कर्व फाइनेंस के संस्थापक, ने स्पष्ट किया कि इन संरचनाओं में समस्याएं गैर-पृथक लेंडिंग मॉडल के माध्यम से और बढ़ जाती हैं, जिसमें सभी परिसंपत्तियों के बीच एक साझा पूल एक एकल जोखिम पूल के कारण अन्य सभी परिसंपत्तियों के लिए अतिरिक्त जोखिम जोड़ता है। यदि rsETH को उसके अपने लेंडिंग पूल में इन्सुलेट किया जाता, तो जब इस तरह का कोई एक्सप्लॉइट होता, तो संक्रामक प्रभाव केल्प तक ही सीमित रहता, बजाय इसके कि वह अन्य प्रोटोकॉल, अन्य उपयोगकर्ताओं या अन्य टोकन को प्रभावित करता।
कई प्रोटोकॉल अपने पूलों को पूरी तरह से अलग नहीं कर रहे हैं इसका कारण यह है कि यह पूंजी दक्षता को कम करता है। जैसे-जैसे कई अलग-अलग प्रोटोकॉल से तरलता एक ही पूल में जुड़ती है, यह तरलता को प्रतिबंधों के बिना अधिक स्वतंत्र रूप से प्रवाहित करने की अनुमति देता है, जिससे उधार लेना सस्ता हो जाता है और उधार के माध्यम से उत्पन्न रिटर्न पर अधिक उपज मिलती है। लेंडिंग पूलों को अलग करने से, प्रत्येक पूल के भीतर निहित जोखिम कम हो जाता है, लेकिन इसके लिए कुछ प्रकार की पूंजी दक्षता का त्याग करना पड़ता है जो उस तरलता को उत्पन्न करने की अनुमति देती है।
इसके अतिरिक्त, एगोरव ने केल्प के ब्रिज के कॉन्फ़िगरेशन के साथ एक अतिरिक्त मुद्दे की ओर इशारा किया, जिसे एक सत्यापनकर्ता के एकल उदाहरण का उपयोग करके कॉन्फ़िगर किया गया था, जिसका अर्थ था कि इन दो प्रोटोकॉल पर भेजे गए और उनसे प्राप्त क्रॉस-चेन संदेशों को मान्य करने के लिए केवल एक सत्यापन बिंदु का उपयोग किया गया था। इस कॉन्फ़िगरेशन त्रुटि को तब नोट किया जाना चाहिए था जब ब्रिज को मूल रूप से ऑनलाइन लाया गया था, लेकिन ऐसा नहीं किया गया। इसलिए, जब एक जाली संदेश पूरे ब्रिज को जारी करने में सक्षम था।
क्रॉस-चेन इंफ्रास्ट्रक्चर कमजोर कड़ी है
हमले का कारण स्मार्ट कॉन्ट्रैक्ट में बग से नहीं था जैसा कि हम आमतौर पर हमलों के समय देखते हैं। हैकर ने केल्प को हैक करने के लिए एक ब्रिज का इस्तेमाल किया। एगोरव विशेष रूप से कहते हैं: "क्रॉस-चेन मुश्किल और असुरक्षित है। क्रॉस-चेन तकनीक का उपयोग केवल तभी करें जब आवश्यक हो और ऐसा अत्यंत सावधानी से करें। कई लोगों ने यह पहले सुना है और दूसरी ओर मुड़ गए हैं क्योंकि क्रॉस-चेन ही वह तरीका है जिससे उद्योग कई ब्लॉकचेन पर एक विकेन्द्रीकृत वित्त प्रणाली बना सकता है। यदि आपके प्रोटोकॉल पर दस अलग-अलग नेटवर्क हैं, तो आपको उन सभी नेटवर्क को जोड़ने का एक तरीका चाहिए और ये लगभग विशेष रूप से सबसे बड़े हैक के स्थल रहे हैं क्योंकि वे प्रत्येक अलग-अलग प्रणालियों को अलग करने वाली सीमाएं हैं, इसलिए हमलावर आमतौर पर पहले सीमाओं पर हैक करने की कोशिश करेंगे।
केल्प एक्सप्लॉइट तेजी से 2026 का सबसे बड़ा डीएफआई हैक बन गया है और यह लेख लिखे जाने तक (साल के चार महीने) 2026 अभी शुरू ही हुआ है। अकेले 2026 की पहली तिमाही में हैक, एक्सप्लॉइट और घोटालों से खोई गई क्रिप्टो की कुल राशि लगभग $482 मिलियन थी। लेजर के सुरक्षा अधिकारी ने कहा कि 2026 "आज तक के हैक के लिए सबसे खराब साल होगा, जो उनके मौजूदा रुझानों से भविष्य के रुझान का एक संकेत है।
विश्वास का क्या होता है
हाल की घटना के बाद सोशल मीडिया पर डीएफआई उपयोगकर्ताओं द्वारा सबसे अधिक बार की जाने वाली टिप्पणियों में से एक थी "डीएफआई मर चुका है" — जो एक्सप्लॉइट के आकार को देखते हुए आश्चर्यजनक नहीं है, हालाँकि; यह इस स्तर पर डीएफआई इकोसिस्टम में क्या हो रहा है इसका वास्तव में सटीक आकलन नहीं हो सकता है। हालांकि, इस घटना की भयावहता की प्रकृति के बारे में कुछ अलग है क्योंकि इसने एक साथ क्रॉस-चेन इंफ्रास्ट्रक्चर, रेस्टेकिंग मॉडल और लेंडिंग बाजारों को प्रभावित किया, और इसलिए इसे एक एकल प्रोटोकॉल की कमजोरी/लक्षित हमले के रूप में वर्गीकृत नहीं किया जा सकता है; इसके बजाय, यह एक तनाव परीक्षण के रूप में कार्य करता है ताकि यह प्रदर्शित किया जा सके कि पूरा डीएफआई इकोसिस्टम अपने अंतर्निहित प्रोटोकॉल के एक साथ काम करने के संबंध में कितनी कसकर जुड़ा हुआ है।
जैसा कि लेजर के सुरक्षा प्रमुख, गिलेमेट ने कहा, 'कुल मिलाकर, इस प्रकार की घटना डीएफआई प्रोटोकॉल की परिचालन अखंडता के संबंध में डीएफआई समुदाय के बीच विश्वास को कम करती है।
दूसरी ओर, एगोरव एक वैकल्पिक दृष्टिकोण प्रस्तुत करते हैं — कि एक कठिन माहौल के बावजूद, क्रिप्टो ने हमेशा डीएफआई में पिछली असफलताओं से सीखा है और मजबूत हुआ है — हालाँकि, सिद्धांत रूप में, वह सही हैं। हालाँकि; इस प्रकार की घटनाओं से सीखने की कीमत आमतौर पर अंतिम उपयोगकर्ता को अप्रत्याशित वित्तीय नुकसान के रूप में चुकानी पड़ती है। नौ प्रोटोकॉल, $293 मिलियन मूल्य की नकदी का नुकसान, और एक जाली ब्रिज संदेश PYMNTS.com यहां कोई तर्क नहीं है, हमने यह सबक सीख लिया है लेकिन हमें इसे कितनी बार और सीखने की आवश्यकता होगी?
