71 milioane USD blocate, 175 milioane USD deja pierdute: Cum hackerul Kelp DAO spală 292 milioane USD în Ether furat
el****@gmail.com2026-04-23
Kelp DAO a pierdut 292 milioane de dolari într-un atac asupra podului LayerZero. Arbitrum a înghețat 71 milioane de dolari, dar deja se mișcă 175 milioane de dolari. Grupul Lazarus este suspectat. Aave se confruntă cu o datorie neperformantă de până la 230 milioane de dolari.
Arbitrum a acționat rapid. Luni seară, Consiliul de Securitate Arbitrum a înghețat peste 30.766 ETH (aproximativ 71 de milioane de dolari) care se aflau într-un portofel pe Arbitrum One direct legat de exploatarea KelpDAO. Consiliul a declarat că a acționat cu sprijinul organelor de drept în privința identității presupusului exploatator și că această acțiune nu a afectat alți utilizatori sau aplicații Arbitrum. Mediile DeFi realizează rar acest nivel de intervenție on-chain în timp real, așa că aceasta a fost o acțiune cu adevărat decisivă pentru Arbitrum.
Hackerul a acționat chiar mai rapid. Înainte ca cerneala să se usuce pe anunțul Arbitrum, firma de inteligență blockchain Arkham a urmărit suspectul mutând 75.701 ETH (aproximativ 175 de milioane de dolari) din adrese Ethereum în portofele nou create. Două transferuri au fost efectuate, unul de 117 milioane de dolari și celălalt de 58 de milioane de dolari, în timpul orelor de tranzacționare europene de marți. Investigatorul on-chain ZachXBT mi-a confirmat că fondurile obținute ilegal au început să fie mutate între lanțuri. Faza de spălare a banilor a început.
În timp ce Arbitrum a înghețat aproximativ 25% din suma totală furată; restul de 75% continuă să fie mutat activ.
Cum s-a desfășurat atacul
În cazul în care cineva a ratat, sâmbătă, 18 aprilie, un atacator a utilizat exploit-ul de bridge cross-chain bazat pe LayerZero al Kelp DAO pentru a exploata un defect care le-a permis să retragă 116.500 rsETH (în valoare de aproximativ 291 de milioane de dolari la acel moment) – aproximativ 18% din suma totală de rsETH în circulație la acel moment. Prin furnizarea de instrucțiuni falsificate către bridge, atacatorul a făcut ca acesta să elibereze rsETH către o adresă pe care o controla. Atacatorul a depus apoi jetoanele furate în Aave, Compound și Euler pentru a le utiliza ca garanție pentru a împrumuta sute de milioane de ether wrap-uit suplimentar.
Bridge-ul Kelp avea rezerve care susțineau rsETH în peste 20 de rețele, așa că acest incident a provocat efecte de undă imediate. Până în prezent, cel puțin nouă protocoale au fost nevoite să-și înghețe piețele sau să ia alte măsuri de urgență. Numai Aave a înregistrat o plecare de 6,6 miliarde de dolari în TVL de pe platforma lor în câteva ore, iar valoarea jetonului lor a scăzut cu 16%. Acum că Aave a publicat raportul său de incident, estimează expunerea lor la datorii neperformante a fi între 123 de milioane de dolari și 230 de milioane de dolari, în funcție de modul în care Kelp DAO își alocă deficitul între pozițiile sale Layer 2.
Ca atare, acest hack DeFi a depășit acum hack-ul Drift de acum două săptămâni, devenind cel mai mare hack DeFi din 2026 până în prezent.
Jocul de acuzare între Kelp și LayerZero
Kelp DAO și LayerZero sunt implicate într-o dispută publică privind cine este responsabil pentru greșeala de configurare care a dus la atac, în timp ce investigatorii continuă să investigheze cum s-au pierdut banii. Una dintre cauze a fost un singur proprietar care acționa ca verificator unic al validității fiecărui mesaj trimis între diferite lanțuri. Dacă acel singur proprietar este compromis, atunci întregul bridge este compromis.
LayerZero insistă că a furnizat Kelp DAO infrastructura pentru a construi. Kelp DAO insistă că utilizarea unui singur proprietar s-a bazat pe configurația standard LayerZero pentru SV, ceea ce înseamnă că nu a fost o alegere făcută de Kelp DAO. Rezultatul privind cine este răspunzător este important pentru orice remedii legale viitoare, dar nu va afecta pierderile financiare suferite de cei care au pierdut bani.
Ceea ce ambele părți admit acum, în mod eficient, este că a existat o configurație care a fost catastrofal de incapabilă să reziste unei intruziuni și rula în producție pe un bridge cu sute de milioane de dolari în valoare cross-chain (acesta este ceea ce leagă cele două părți). Cineva ar fi trebuit să identifice această problemă, dar nimeni nu a făcut-o.
Umbra Coreei de Nord
Cercetătorii în securitate și multiple publicații au identificat că modelul de exploatare Kelp, amploarea sa și viteza fondurilor spălate reprezintă îndeaproape modus operandi legate de Grupul Lazarus din Coreea de Nord. Împreună, exploit-urile Drift și Kelp au generat peste 500 de milioane de dolari în active drenate în puțin peste 2 săptămâni. Analiștii cred că această scurgere financiară reflectă o țară sancționată care are nevoie de fonduri, mai degrabă decât hackeri oportuniști care au operat în acest ritm.
Grupul Lazarus a fost asociat cu unele dintre cele mai mari furturi de criptomonede din istorie, inclusiv hack-ul rețelei Ronin de 625 de milioane de dolari care a avut loc în 2022. Grupul este cunoscut pentru utilizarea setărilor de verificare compromise pentru a exploata infrastructura cross-chain, precum și pentru a muta rapid/mai eficient fondurile furate prin diverse instrumente de confidențialitate și salturi între lanțuri pentru a împiedica capacitatea investigatorilor de a-și urmări activele furate. Exploit-ul Kelp se aliniază cu aceste modus operandi. Deși atribuirea Grupului Lazarus nu a fost confirmată, este evident că forțele de ordine au transmis suficiente informații Consiliului de Securitate Arbitrum privind identitatea exploatatorului Kelp pentru a acorda înghețarea menționată mai sus — ceea ce implică faptul că investigatorii au progresat mai mult decât reflectă declarațiile publice.
Ce urmează
Nimeni nu va putea accesa cele 70 de milioane de dolari din fondurile înghețate Arbitrum fără aprobarea Guvernanței Aave. Aceasta reprezintă o sumă semnificativă de bani care a fost recuperată și este deosebit de impresionant cât de rapid s-au întâmplat lucrurile în general. Cu toate acestea, 175 de milioane de dolari au fost mutați în portofele noi, făcând recuperarea mult mai dificilă decât dacă s-ar fi întâmplat pe un singur blockchain. FBI și IRS-CI lucrează probabil împreună în ceea ce privește investigația, având în vedere valoarea totală mare a fondurilor furate, dar transformarea acestei investigații în active reale va dura luni sau ani și nu doar zile.
În ceea ce privește recuperările de datorii neperformante/împrumuturi pentru Aave, întrebarea inițială va fi cum să gestioneze această pierdere. Este posibil ca o parte din ea să poată fi acoperită prin utilizarea Rezervei de Siguranță Umbrella, dar dacă nu, orice pierderi suplimentare vor trebui să provină de la deținătorii de stkAAVE, prin mecanismul de backstop al protocolului. Acest lucru ar pune o presiune semnificativă asupra Guvernanței Aave pentru prima dată să ia măsuri pentru a proteja deținătorii de stkAAVE de pierderi într-un mod fără precedent.
În acest moment, au trecut doar aproximativ 72 de ore de la exploit-ul Kelp. Investigația este în curs; spălarea fondurilor furate este în desfășurare; iar suma totală a pierderilor din exploit nu a fost încă determinată. Este clar că autorul exploit-ului Kelp a avut o schemă elaborată pregătită înainte de a executa hack-ul pentru a profita de aceste circumstanțe.
