Czarna niedziela dla Kelp DAO: Skradziono 292 mln USD w rsETH przez lukę w LayerZero

To, co zaczęło się od serii podejrzanych alertów on-chain, szybko przerodziło się w największy hack 2026 roku. Napastnik uderzył w mechanizm rsETH – flagowy token płynnego re-stakingu od Kelp DAO – pozbawiając protokół około 18% całkowitej podaży tego aktywa.

Anatomia ataku: Co się stało?

Według wstępnych analiz bezpieczeństwa (potwierdzonych przez The Block i AggrNews), atak przebiegł następująco:

• Punkt wejścia: Haker wykorzystał krytyczną lukę w implementacji mostu LayerZero opartego na standardzie OFT (Omnichain Fungible Token). Luka pozwoliła na nieautoryzowane wybicie (minting) lub transfer ogromnej ilości rsETH między sieciami.
• Łup: Pierwszy, udany atak pozwolił na wyprowadzenie 116 500 rsETH, co przy obecnym kursie daje astronomiczną kwotę 292 mln USD.
• Zablokowane próby: Zespół Kelp DAO zareagował błyskawicznie, zatrzymując inteligentne kontrakty rsETH. Dzięki temu udało się powstrzymać dwie kolejne fale ataku, które mogły kosztować protokół dodatkowe 100 mln USD (ok. 40 000 rsETH).

Reakcja rynku i systemowe Domino

Incydent wywołał natychmiastową reakcję w całym ekosystemie DeFi:

1. Aave reaguje: Protokół pożyczkowy Aave podjął decyzję o natychmiastowym zamrożeniu wszystkich rynków rsETH (zarówno w wersji V3, jak i V4), aby zapobiec wykorzystaniu skradzionych tokenów jako zastawu pod inne pożyczki. Zespół Aave podkreśla: ich kontrakty pozostają bezpieczne.
2. De-peg rsETH: Na giełdach zdecentralizowanych (DEX) cena rsETH gwałtownie spadła względem ETH, ponieważ spanikowani inwestorzy próbowali wyjść z pozycji, mimo zablokowanych mostów.
3. Weryfikacja LayerZero: Eksperci sprawdzają teraz inne protokoły korzystające z mostów OFT, obawiając się, że luka może mieć charakter systemowy i dotyczyć więcej niż jednego projektu.

Oficjalne stanowisko Kelp DAO

Zespół potwierdził incydent i prowadzi dochodzenie we współpracy z firmami audytorskimi oraz organami ścigania.

„Naszym priorytetem jest zabezpieczenie pozostałych środków i zidentyfikowanie dokładnego wektora ataku. Współpracujemy z LayerZero, aby ustalić, jak doszło do naruszenia standardu OFT” – czytamy w krótkim komunikacie.

Podsumowanie: Cień nad re-stakingiem

Atak na Kelp DAO to bolesna lekcja dla rosnącego sektora re-stakingu. Pokazuje on, że nawet najbardziej innowacyjne rozwiązania są tak silne, jak ich najsłabsze ogniwo – w tym przypadku infrastruktura międzyłańcuchowa. Straty na poziomie 292 mln USD mogą trwale zmienić zaufanie inwestorów do płynnych pochodnych re-stakingu (LRT).

Źródła:

• The Block: Kelp DAO’s rsETH bridge exploited for $292 million in LayerZero-based attack (19.04.2026)
• AggrNews on X: KelpDAO Protocol Hacked – rsETH Contract Paused (19.04.2026)