$71M Naka-freeze, $175M Nawalang: Paano Nilalagyan ng Kelp DAO Hacker ng Labada ang $292 Milyong Ninakaw na Ether
el****@gmail.com2026-04-23
Nawalang $292M ang Kelp DAO sa isang LayerZero bridge exploit. Ipinawalang-bisa ng Arbitrum ang $71M, ngunit $175M ay patungo na. Pinaghihinalaang grupo ang Lazarus. Humaharap ang Aave sa hanggang $230M na masamang utang.
Mabilis kumilos ang Arbitrum. Noong Lunes ng gabi, ni-freeze ng Arbitrum Security Council ang mahigit 30,766 ETH (humigit-kumulang $71 milyon) na nasa isang wallet sa Arbitrum One na direktang konektado sa pagsasamantala (exploitation) ng KelpDAO. Sinabi ng konseho na kumilos sila batay sa impormasyon mula sa tagapagpatupad ng batas tungkol sa pinaniniwalaan nilang pagkakakilanlan ng exploiter at na ang aksyong ito ay hindi nakaapekto sa ibang mga gumagamit o aplikasyon ng Arbitrum. Bihira lang mangyari sa mga kapaligiran ng DeFi ang ganitong antas ng on-chain na interbensyon sa real-time, kaya ito ay isang tunay na mapagpasyang aksyon para sa Arbitrum.
Mas mabilis pa kumilos ang hacker. Bago pa man matuyo ang tinta ng anunsyo ng Arbitrum, sinundan ng blockchain intelligence firm na Arkham ang suspek na naglilipat ng 75,701 ETH (humigit-kumulang $175 milyon) mula sa mga Ethereum address patungo sa mga bagong gawang wallet. Dalawang paglilipat ang ginawa, isa para sa $117 milyon at ang isa pa para sa $58 milyon, sa mga oras ng European trading noong Martes. Kinumpirma sa akin ng on-chain investigator na si ZachXBT na nagsimula nang ilipat ang ilegal na nakuhang pondo sa iba't ibang blockchain. Nagsimula na ang yugto ng money laundering.
Habang ni-freeze ng Arbitrum ang humigit-kumulang 25% ng kabuuang ninakaw na halaga; ang natitirang 75% ay aktibong inililipat pa rin.
Paano Nangyari ang Atake
Kung sakaling hindi pa ninyo alam, noong Sabado, ika-18 ng Abril, ginamit ng isang attacker ang LayerZero-based cross-chain bridge exploit ng Kelp DAO upang samantalahin ang isang depekto na nagpahintulot sa kanila na mag-withdraw ng 116,500 rsETH (na nagkakahalaga ng humigit-kumulang $291 milyon noong panahong iyon) – humigit-kumulang 18% ng kabuuang dami ng rsETH na umikot noon. Sa pamamagitan ng pagbibigay ng pekeng instruksyon sa bridge, naging sanhi ang attacker upang ilabas nito ang rsETH sa isang address na kontrolado nila. Pagkatapos ay idineposito ng attacker ang mga ninakaw na token sa Aave, Compound, at Euler upang gamitin bilang collateral sa paghiram ng daan-daang milyong karagdagang wrapped ether.
Ang bridge ng Kelp ay may reserbang sumusuporta sa rsETH sa mahigit 20 network, kaya nagdulot ito ng agarang ripple effect. Sa ngayon, hindi bababa sa siyam na protocol ang napilitang i-freeze ang kanilang mga pamilihan o magsagawa ng iba pang emergency na hakbang. Ang Aave lamang ay nakaranas ng $6.6 bilyong TVL na umalis sa kanilang platform sa loob ng ilang oras at bumaba ang halaga ng kanilang token ng 16%. Ngayon na inilabas na ng Aave ang kanilang incident report, tinatantya nito na ang kanilang bad debt exposure ay nasa pagitan ng $123M at $230M, depende sa kung paano iaatas ng Kelp DAO ang kakulangan nito sa mga posisyon nito sa Layer 2.
Dahil dito, nalampasan na ng DeFi hack na ito ang Drift hack dalawang linggo na ang nakakaraan, na ginagawa itong pinakamalaking DeFi hack ng 2026 hanggang ngayon.
Ang Sisihan sa Pagitan ng Kelp at LayerZero
Ang Kelp DAO at LayerZero ay nasa isang pampublikong pagtatalo kung sino ang responsable sa pagkakamali sa konfigurasyon na humantong sa pag-atake, habang patuloy na iniimbestigahan ng mga imbestigador kung paano nawala ang pera. Isang sanhi ay ang nag-iisang may-ari na gumaganap bilang solong verifier kung balido ang bawat mensahe na ipinapadala sa iba't ibang chain. Kung nakompromiso ang nag-iisang may-ari, ang buong bridge ay nakompromiso.
Iginiit ng LayerZero na sila ang nagbigay sa Kelp DAO ng imprastraktura para sa pagbuo. Iginiit naman ng Kelp DAO na ang paggamit nila ng isang may-ari ay batay sa karaniwang konfigurasyon ng LayerZero para sa SV, ibig sabihin, hindi ito desisyon ng Kelp DAO. Ang kalalabasan kung sino ang mananagot ay mahalaga para sa anumang legal na remedyo sa hinaharap ngunit hindi ito makakaapekto sa mga pinansyal na pagkalugi na dinanas ng mga nawalan ng pera.
Ang parehong partido ay epektibong umaamin ngayon na mayroong isang konfigurasyon na lubhang hindi makatagal sa pagpasok at tumatakbo sa produksyon sa isang bridge na may daan-daang milyong dolyar na halaga ng cross-chain value (ito ang nag-uugnay sa dalawang partido). Dapat ay may nakahuli sa problemang ito ngunit walang nagawa.
Anino ng Hilagang Korea
Kinilala ng mga mananaliksik sa seguridad at maraming publikasyon na ang pattern ng pagsasamantala ng Kelp, ang sukat nito, at bilis ng paglalabas ng mga pondo ay malapit na kumakatawan sa modus operandi na nauugnay sa Lazarus Group ng Hilagang Korea. Sama-sama, ang mga exploit ng Drift at Kelp ay nakalikha ng mahigit $500 milyon na nakuha mula sa mga asset sa loob lamang ng mahigit 2 linggo. Naniniwala ang mga analyst na ang pagkaubos ng pinansyal na ito ay repleksyon ng isang bansang pinatawan ng parusa na nangangailangan ng pondo, sa halip na mga oportunistikong hacker na kumilos nang ganito kabilis.
Ang Lazarus Group ay nauugnay sa ilan sa pinakamalaking pagnanakaw ng cryptocurrency sa kasaysayan, kabilang ang $625 milyong Ronin Network hack na nangyari noong 2022. Ang grupo ay kilala sa paggamit ng mga nakompromisong setup ng verifier upang samantalahin ang cross-chain na imprastraktura, pati na rin ang mabilis/mas epektibong paglilipat ng kanilang ninakaw na pondo sa pamamagitan ng iba't ibang privacy tool at chain hop upang hadlangan ang kakayahan ng mga imbestigador na subaybayan ang kanilang mga ninakaw na asset. Ang Kelp exploit ay umaayon sa mga modus operandi na ito. Bagama't hindi pa kumpirmado ang pagpapatungkol sa Lazarus Group, malinaw na ipinasa ng tagapagpatupad ng batas ang sapat na impormasyon sa Arbitrum Security Council tungkol sa pagkakakilanlan ng Kelp exploiter upang pahintulutan ang freeze na nabanggit sa itaas — nagpapahiwatig na mas malayo na ang narating ng mga imbestigador kaysa sa ipinapakita ng mga pampublikong pahayag.
Ano ang Susunod
Walang sinuman ang makaka-access sa $70 milyong frozen na pondo ng Arbitrum nang walang pahintulot mula sa Governance ng Aave. Ito ay kumakatawan sa isang malaking halaga ng pera na nabawi at kahanga-hanga kung gaano kabilis nangyari ang mga bagay sa kabuuan. Gayunpaman, $175M ang inilipat sa mga bagong wallet, na nagpapahirap sa pagbawi kaysa kung ito ay nangyayari lamang sa isang blockchain. Posibleng magkasama ang FBI at IRS-CI sa imbestigasyon dahil sa laki ng kabuuang halaga ng mga ninakaw na pondo, ngunit ang paggawa ng imbestigasyong ito sa aktwal na asset ay aabutin ng mga buwan o taon at hindi lang mga araw.
Tungkol sa bad debt/loan recoveries para sa Aave, ang kanilang unang tanong ay kung paano haharapin ang pagkalugi na ito. Posibleng bahagi nito ay sakop ng paggamit ng Umbrella Safety Reserve, ngunit kung hindi, anumang karagdagang pagkalugi ay kailangang manggaling sa mga may hawak ng stkAAVE, sa pamamagitan ng backstop mechanism ng protocol. Magdudulot ito ng malaking presyon sa Aave Governance upang sa unang pagkakataon ay kumilos upang protektahan ang mga may hawak ng stkAAVE mula sa pagkalugi sa isang paraang hindi pa nangyari noon.
Sa ngayon, humigit-kumulang 72 oras pa lamang mula nang maganap ang Kelp exploit. Patuloy ang imbestigasyon; nagaganap ang money laundering ng mga ninakaw na pondo; at hindi pa natutukoy ang kabuuang halaga ng pagkalugi mula sa exploit. Malinaw na ang nagpatupad ng Kelp exploit ay may detalyadong plano na inihanda bago isagawa ang hack upang samantalahin ang mga sitwasyong ito.
