Un Singur Hack, Nouă Protocoale, 292 de Milioane de Dolari Dispăruți: Exploitul Kelp Expune Problema Contagiunii în DeFi
el****@gmail.com2026-04-23
Un mesaj falsificat LayerZero a drenat 293 milioane de dolari din Kelp DAO, declanșând o contagiune în nouă protocoale DeFi, prăbușind TVL-ul Aave cu 6,6 miliarde de dolari și expunând infrastructura cross-chain ca fiind veriga cea mai slabă a criptomonedei.
Sâmbătă după-amiază, un atacator a trimis o comandă falsă către bridge-ul Kelp DAO, alimentat de LayerZero. Bridge-ul a acceptat-o ca fiind reală. În câteva minute, 116.500 de rsETH (aproximativ 18% din oferta totală circulantă a tokenului) au fost plasați în portofelul atacatorului. Când Kelp și-a pus contractele inteligente în așteptare, token-urile furate erau deja în Aave, Compound și Euler, servind drept garanție pentru împrumutarea a sute de milioane de dolari în ether wrapat. Rezultatul: Kelp a pierdut aproximativ 293 de milioane de dolari; Aave a avut 6,6 miliarde de dolari din valoare blocată dispărută; și cel puțin nouă protocoale diferite încercau să-și înghețe piețele de schimb pe care nu le-au construit.
Aceasta nu a fost doar o problemă a Kelp; aceasta se referă la dependența multor protocoale de bridge-uri compromise — aceasta este problema care merită analizată!
Cum un Singur Hack de Bridge a Devenit o Criză Multi-Protocol
Kelp acționează ca un protocol pentru restaking lichid. Stakerii de ether (stETH) pe Kelp primesc un token numit rsETH care generează recompense, ce pot fi apoi utilizate în numeroase protocoale DeFi. Totuși, existau peste 20 de rețele active pe care token-urile rsETH circulau ca garanție sau chitanțe de pariere pentru staking prin Kelp, și toate erau legate de aceleași rezerve deținute de Kelp pe bridge. Astfel, când bridge-ul a fost golit și token-urile rsETH circulante ca garanție au devenit suspecte (indiferent de unde proveneau), protocoalele care au acceptat aceste token-uri ca garanție nu aveau mijloace de a verifica autenticitatea garanției care susținea împrumuturile lor — Aave, SparkLend, Fluid, Euler, Compound și altele.
Cyvers Blockchain Security a etichetat această problemă drept „eveniment de contagiune cross-protocol” ca rezultat al exploitului protocolului. Deși Aave, Compound și Euler nu au înregistrat nicio eroare fiduciară cu contractele lor, Aave a integrat rsETH în pool-ul său de împrumut și nu l-a segregat de restul împrumuturilor sale, escaladând astfel riscul la care era expus pool-ul său de împrumut de către rsETH. Ulterior, valoarea tokenului Aave a scăzut cu 16%. Valoarea totală blocată în Aave (TVL) a scăzut de la 26,4 miliarde de dolari la aproximativ 20 de miliarde de dolari în câteva ore. Aave deține acum aproximativ 196 de milioane de dolari în datorii neperformante concentrate pe perechile rsETH și wrapped ether, iar Aave ar putea avea rezerve insuficiente în Fondul său de Siguranță Umbrella.
Compromisul Eficienței Capitalului pe care Nimeni Nu și-a Dorit Să-l Facă
Michael Egorov, fondatorul Curve Finance, a subliniat că problemele din aceste structuri sunt amplificate prin modele de împrumut neizolate, în care un pool comun între toate activele adaugă un risc suplimentar pentru toate celelalte active, din cauza unui singur pool de risc. Dacă rsETH ar fi fost izolat în propriul său pool de împrumut, atunci când are loc un exploit ca acesta, contagiunea ar fi limitată la Kelp, în loc să afecteze alte protocoale, alți utilizatori sau alte tokenuri.
Motivul pentru care multe protocoale nu își izolează complet pool-urile este că acest lucru reduce eficiența capitalului. Pe măsură ce lichiditatea de la multe protocoale diferite este adăugată într-un singur pool, aceasta permite lichidității să circule mai liber, fără restricții, ceea ce face mai ieftină împrumutarea și oferă un randament mai mare la profiturile generate prin împrumuturi. Prin izolarea pool-urilor de împrumut, riscul conținut în fiecare pool este redus, dar necesită sacrificiul unui anumit tip de eficiență a capitalului care permite generarea acelei lichidități.
În plus, Egorov a subliniat o problemă suplimentară cu configurația bridge-ului Kelp, care a fost configurat utilizând o singură instanță de verificare, ceea ce înseamnă că a existat un singur punct de verificare utilizat pentru a valida mesajele cross-chain trimise către și de la aceste două protocoale. Această eroare de configurare ar fi trebuit notată când bridge-ul a fost lansat inițial, dar nu a fost. Prin urmare, un mesaj falsificat a reușit să elibereze întregul bridge.
Infrastructura Cross-Chain Este Veriga Slabă
Cauza atacului nu a fost o eroare într-un contract inteligent, așa cum vedem de obicei când au loc atacuri. Hackerul a folosit un bridge pentru a ataca Kelp. Egorov afirmă în mod specific: „Cross-chain-ul este dificil și nesigur. Utilizați tehnologia cross-chain doar atunci când este necesar și faceți acest lucru extrem de atent. Mulți oameni au auzit asta înainte și au ignorat-o, deoarece cross-chain-ul este modul în care industria poate crea un sistem financiar descentralizat pe mai multe blockchain-uri. Dacă există zece rețele diferite cu protocolul dvs. pe ele, atunci aveți nevoie de o modalitate de a conecta toate aceste rețele, iar acestea sunt aproape exclusiv locurile unde au avut loc cele mai mari hack-uri, deoarece sunt granițele care separă fiecare dintre sistemele separate, prin urmare atacatorii ar căuta de obicei să atace mai întâi la granițe.”
Exploit-ul Kelp a devenit rapid cel mai mare hack DeFi din 2026, iar 2026 abia a început la momentul scrierii acestui articol (patru luni în an). Suma totală de cripto pierdută din hack-uri, exploit-uri și escrocherii doar în primul trimestru al anului 2026 a fost de aproximativ 482 de milioane de dolari. Ofițerul de Securitate al Ledger a declarat că 2026 va fi „cel mai probabil cel mai rău an pentru hack-uri până în prezent”, ceea ce este o recomandare a unei tendințe viitoare bazată pe tendințele actuale.
Ce se Întâmplă cu Încrederea
„DeFi este mort” a fost unul dintre cele mai frecvente comentarii ale utilizatorilor DeFi pe rețelele sociale în urma incidentului recent — lucru care nu este surprinzător având în vedere amploarea exploitului; totuși, este posibil să nu fie o evaluare cu adevărat exactă a ceea ce se întâmplă în ecosistemul DeFi în acest stadiu. Cu toate acestea, există ceva diferit în natura magnitudinii acestui eveniment, deoarece a afectat simultan infrastructura cross-chain, modelele de restaking și piețele de împrumut și, prin urmare, nu poate fi clasificat ca slăbiciunea/atacul vizat al unui singur protocol; în schimb, servește ca un test de stres pentru a demonstra cât de strâns legat este întregul ecosistem DeFi în ceea ce privește protocoalele sale subiacente care lucrează împreună.
Așa cum a spus șeful de securitate al Ledger, Guillemet, „În general, acest tip de eveniment erodează încrederea în rândul comunității DeFi în ceea ce privește integritatea operațională a protocolului DeFi.”
Pe de altă parte, Egorov oferă o perspectivă alternativă — că, deși este un mediu dificil, cripto a învățat întotdeauna din eșecurile anterioare din DeFi și a devenit mai puternic — deși, în principiu, are dreptate. Cu toate acestea; învățarea din aceste tipuri de incidente costă de obicei utilizatorul final pierderi financiare neașteptate. Nouă protocoale, 293 de milioane de dolari în valoare monetară pierdută și un mesaj falsificat de bridge PYMNTS.com nu există niciun argument aici, am învățat această lecție, dar de câte ori va mai trebui să o învățăm?
