W sobotnie popołudnie atakujący wysłał fałszywą komendę do mostu Kelp DAO, obsługiwanego przez LayerZero. Most uznał ją za prawdziwą. W ciągu kilku minut 116 500 tokenów rsETH (około 18% całkowitej podaży w obiegu) trafiło do portfela atakującego. Kiedy Kelp zawiesił swoje smart kontrakty, skradzione tokeny znajdowały się już w Aave, Compound i Euler jako zabezpieczenie do pożyczenia setek milionów dolarów w wrapped ether. Rezultat: Kelp stracił około 293 milionów dolarów; Aave utraciło zablokowaną wartość o wysokości 6,6 miliarda dolarów; a co najmniej dziewięć różnych protokołów próbowało zamrozić swoje rynki wymiany, których nie stworzyły. To nie był tylko problem Kelp; dotyczy to zależności wielu protokołów od mostów, które są skompromitowane — to jest kwestia warta przemyślenia!<h2>Jak pojedynczy atak na most stał się kryzysem wieloprotokołowym</h2> Kelp działa jako protokół dla<a href="https://www.coindesk.com/tech/2026/04/19/2026-s-biggest-crypto-exploit-kelp-dao-hit-for-usd292-million-with-wrapped-ether-stranded-across-20-chains" rel="noopener noreferrer" target="_blank"> </a>płynnego restakingu. Stakujący ether (stETH) w Kelp otrzymują token rsETH, który generuje nagrody, a który następnie może być wykorzystany w wielu protokołach DeFi. Jednakże, istniało ponad 20 aktywnych sieci, w których tokeny rsETH krążyły jako zabezpieczenie lub potwierdzenia zakładów do stakingu za pośrednictwem Kelp, a wszystkie były powiązane z tymi samymi rezerwami Kelp na moście. Tak więc, gdy most został opróżniony, a tokeny rsETH krążące jako zabezpieczenie stały się podejrzane (niezależnie od ich pochodzenia), protokoły, które akceptowały te tokeny jako zabezpieczenie, nie miały środków do weryfikacji autentyczności zabezpieczenia wspierającego ich pożyczki — Aave, SparkLend, Fluid, Euler, Compound i inne. Cyvers Blockchain Security określił ten problem jako<a href="https://cointelegraph.com/news/kelp-exploit-non-isolated-defi-lending" rel="noopener noreferrer" target="_blank"> </a>"zdarzenie kontagionu międzyprotokołowego" w wyniku eksploita protokołu.<a href="https://cointelegraph.com/news/kelp-exploit-non-isolated-defi-lending" rel="noopener noreferrer" target="_blank"> </a>Chociaż Aave, Compound i Euler nie doświadczyły błędu powierniczego w swoich kontraktach, Aave zintegrował rsETH ze swoją pulą pożyczkową i nie oddzielił go od reszty swoich pożyczek, co zwiększyło ryzyko dla ich puli pożyczkowej ze strony rsETH. W konsekwencji wartość tokena Aave spadła o 16%. Całkowita wartość zablokowana w Aave (TVL) spadła z 26,4 miliarda dolarów do około 20 miliardów dolarów w ciągu kilku godzin. Aave posiada obecnie około 196 milionów dolarów złego długu skoncentrowanego w parach rsETH i wrapped ether, a Aave może mieć niewystarczające rezerwy w swoim Funduszu Bezpieczeństwa Parasolowego.<h2>Kompromis w efektywności kapitałowej, którego nikt nie chciał podjąć</h2>Michael Egorov, założyciel Curve Finance, jasno stwierdził, że problemy w tych strukturach są pogłębiane przez<a href="https://www.tradingview.com/news/cointelegraph:f9b94fcc4094b:0-kelp-exploit-highlights-problem-with-non-isolated-defi-lending-crypto-execs/" rel="noopener noreferrer" target="_blank"> </a>nieizolowane modele pożyczek, gdzie wspólna pula dla wszystkich aktywów dodaje dodatkowe ryzyko dla wszystkich pozostałych aktywów z powodu jednej puli ryzyka. Gdyby rsETH był odizolowany w swojej własnej puli pożyczkowej, to w przypadku wystąpienia takiego eksploita, kontagion byłby ograniczony do Kelp, zamiast wpływać na inne protokoły, innych użytkowników lub inne tokeny. Powodem, dla którego wiele protokołów nie izoluje w pełni swoich pul, jest to, że zmniejsza to efektywność kapitałową. Kiedy płynność z wielu różnych protokołów jest dodawana do jednej puli, pozwala to płynności przepływać swobodniej bez ograniczeń, co czyni ją tańszą do pożyczania i zapewnia wyższy zwrot z dochodów generowanych poprzez udzielanie pożyczek. Izolowanie pul pożyczkowych zmniejsza ryzyko zawarte w każdej puli, ale wymaga poświęcenia pewnego rodzaju efektywności kapitałowej, która pozwala na generowanie tej płynności. Ponadto Egorov wskazał na dodatkowy problem z konfiguracją mostu Kelp, który był skonfigurowany z użyciem pojedynczej instancji weryfikatora, co oznacza, że istniał tylko jeden punkt weryfikacji używany do walidacji wiadomości międzyłańcuchowych wysyłanych do i z tych dwóch protokołów. Ten błąd konfiguracji powinien był zostać zauważony, gdy most został uruchomiony, ale tak się nie stało. W związku z tym jedna sfałszowana wiadomość była w stanie opróżnić cały most.<h2>Infrastruktura międzyłańcuchowa jest słabym ogniwem</h2>Przyczyną ataku nie był błąd w smart kontrakcie, jak to zazwyczaj widzimy, gdy dochodzi do ataków. Haker użył mostu do zhakowania Kelp. Egorov wyraźnie stwierdza: "Technologia międzyłańcuchowa jest trudna i niebezpieczna. Używaj jej tylko wtedy, gdy jest to konieczne, i rób to niezwykle ostrożnie. Wiele osób słyszało to wcześniej i odwróciło się od niej, ponieważ technologia międzyłańcuchowa jest sposobem, w jaki branża może stworzyć zdecentralizowany system finansowy w wielu blockchainach. Jeśli istnieje dziesięć różnych sieci z twoim protokołem, to potrzebujesz sposobu na połączenie wszystkich tych sieci, a są to niemal wyłącznie miejsca, gdzie doszło do największych ataków, ponieważ są to granice oddzielające każdy z oddzielnych systemów, dlatego atakujący zazwyczaj szukaliby możliwości zhakowania najpierw na granicach. Eksploit Kelp szybko stał się największym atakiem DeFi w 2026 roku, a rok 2026 dopiero się zaczął w momencie pisania tego artykułu (cztery miesiące w roku).<a href="https://blockonomi.com/kelp-dao-suffers-292m-bridge-exploit-in-under-an-hour" rel="noopener noreferrer" target="_blank"> </a>Całkowita kwota kryptowalut utraconych w wyniku ataków, exploitów i oszustw w samym pierwszym kwartale 2026 roku wyniosła około<a href="https://technext24.com/2026/04/15/hackers-stole-482m-across-crypto-hacks/" rel="noopener noreferrer" target="_blank"> </a>482 miliony dolarów.<a href="https://technext24.com/2026/04/15/hackers-stole-482m-across-crypto-hacks/" rel="noopener noreferrer" target="_blank"> </a>Oficer Bezpieczeństwa Ledger stwierdził, że rok 2026 "najprawdopodobniej będzie najgorszym rokiem pod względem ataków do tej pory", co jest rekomendacją przyszłego trendu na podstawie obecnych tendencji.<h2>Co dzieje się z zaufaniem</h2>"DeFi umarło" był jednym z najczęstszych komentarzy użytkowników DeFi w mediach społecznościowych po ostatnim incydencie — co nie dziwi, biorąc pod uwagę skalę eksploita; jednakże, może to nie być prawdziwie dokładna ocena tego, co dzieje się w ekosystemie DeFi na tym etapie. Jednakże, istnieje coś innego w naturze skali tego wydarzenia, ponieważ jednocześnie wpłynęło ono na infrastrukturę międzyłańcuchową, modele restakingu i rynki pożyczek, dlatego nie można go sklasyfikować jako słabość pojedynczego protokołu/ukierunkowany atak; zamiast tego, służy ono jako test warunków skrajnych, aby zademonstrować, jak ściśle powiązany jest cały ekosystem DeFi w odniesieniu do współpracy jego protokołów bazowych. Jak ujął to Szef Bezpieczeństwa Ledger, Guillemet: "Ogólnie rzecz biorąc, tego typu wydarzenie podważa zaufanie w społeczności DeFi co do integralności operacyjnej protokołów DeFi." Z drugiej strony, Egorov przedstawia alternatywny punkt widzenia — że choć środowisko jest trudne, krypto zawsze uczyło się na poprzednich niepowodzeniach w DeFi i stawało się silniejsze — choć, w zasadzie, ma rację. Jednakże; nauka z tego typu incydentów zazwyczaj kosztuje użytkownika końcowego nieoczekiwane straty finansowe. Dziewięć protokołów, 293 miliony dolarów utraconej wartości pieniężnej i jedna sfałszowana wiadomość mostu<a href="https://www.pymnts.com/cryptocurrency/2026/kelp-dao-293-million-hack-largest-defi-theft-of-2026/" rel="noopener noreferrer" target="_blank"> </a>PYMNTS.com — nie ma tu żadnych argumentów, nauczyliśmy się tej lekcji, ale ile razy jeszcze będziemy musieli się jej uczyć?

Podrobione wiadomości LayerZero wyprowadziły z Kelp DAO 293 mln USD, wywołując efekt domina w dziewięciu protokołach DeFi, co spowodowało spadek TVL Aave o 6,6 mld USD i ujawniło infrastrukturę cross-chain jako najsłabsze ogniwo w kryptowalutach.

Jeden atak, dziewięć protokołów, 292 miliony dolarów stracone: Luka Kelp ujawnia problem zakażenia DeFi

/media/contribution/car7cca855be207479089c0bed33c804071/yqd_0507185414747.stxt

Kast zatrudnia byłą urzędniczkę SEC, Stephanie Allen, na stanowisko kierownika ds. komunikacji politycznej

/media/contribution/card85f52cd0bf24832967ff7558a9232a6/ze3_0507172850853.stxt

Szybki przewodnik dla początkujących po handlu kontraktami terminowymi na LBank

/media/contribution/car53657f5df81a46aaa62c15253631838b/mb5_0507185811096.stxt

Prawda o kryptowalutach i twoich podatkach — to, co Scott Bessent właśnie powiedział Kongresowi, zszokuje Bitcoin

/media/contribution/car6aab590c11eb4eb5b0e482feb46d25c5/g3e_0507172209472.stxt

Sankcjonowana giełda Grinex wstrzymuje handel po kradzieży o wartości 13,7 mln USD

/media/contribution/car7e267414288c4f769119384d4a45d799/dsm_0507171334279.stxt

Cathie Wood z ARK prognozuje, że kapitalizacja rynkowa Bitcoina osiągnie 16 bilionów dolarów

/media/contribution/car2acdab889f754524b9eacb348740c80e/zgd_0507173442339.stxt