Isang Hack, Siyam na Protokol, $292 Milyon ang Nawala: Ipinapakita ng Kelp Exploit ang Suliranin ng Kontagyo sa DeFi
el****@gmail.com2026-04-23
Isang peke na mensahe mula sa LayerZero ang nag-ubos ng $293M mula sa Kelp DAO, na nagdulot ng pagkalat sa siyam na DeFi protocol, bumagsak ang TVL ng Aave ng $6.6B, at ipinakita ang cross-chain infrastructure bilang pinakamahina sa larangan ng crypto.
Noong Sabado ng hapon, nagpadala ang isang attacker ng pekeng command sa bridge ng Kelp DAO na pinapagana ng LayerZero. Tinanggap ito ng bridge bilang totoo. Sa loob ng ilang minuto, 116,500 ng rsETH (humigit-kumulang 18% ng kabuuang supply ng token na nasa sirkulasyon) ang nailagay sa wallet ng attacker. Nang pansamantalang itigil ng Kelp ang kanilang mga smart contract, ang mga ninakaw na token ay nasa Aave, Compound, at Euler na bilang collateral para sa paghiram ng daan-daang milyong dolyar pa sa wrapped ether. Ang kinalabasan: Nawalan ang Kelp ng humigit-kumulang $293 milyon; Nawala sa Aave ang $6.6 bilyong halaga ng naka-lock na asset; at hindi bababa sa siyam na magkakaibang protocol ang sumusubok na i-freeze ang kanilang mga exchange market na hindi naman nila binuo.
Hindi lang ito isyu ng Kelp; may kinalaman ito sa pagdepende ng maraming protocol sa mga bridge na nakompromiso — iyan ang isyung dapat pag-isipan!
Paano Naging Krisis ng Maraming Protocol ang Isang Bridge Hack
Ang Kelp ay nagsisilbing protocol para sa liquid restaking. Ang mga staker ng ether (stETH) sa Kelp ay nakakatanggap ng token na tinatawag na rsETH na bumubuo ng mga reward, na maaaring gamitin sa maraming DeFi protocol. Gayunpaman, mayroong higit sa 20 aktibong network kung saan ang mga rsETH token ay umiikot bilang collateral o resibo ng taya para sa staking sa pamamagitan ng Kelp, at lahat ay nakatali sa iisang reserba ng Kelp sa bridge. Kaya nang maubos ang bridge at naging kaduda-duda ang mga rsETH token na umiikot bilang collateral (anuman ang pinagmulan nito), ang mga protocol na tumanggap ng mga token na ito bilang collateral ay walang paraan upang patunayan ang pagiging tunay ng collateral na sumusuporta sa kanilang mga pautang — Aave, SparkLend, Fluid, Euler, Compound, at iba pa.
Binansagan ng Cyvers Blockchain Security ang isyung ito bilang isang "cross-protocol contagion event" bilang resulta ng exploit ng protocol. Bagama't walang naranasan na fiduciary fault ang Aave, Compound, at Euler sa kanilang mga kontrata, isinama ng Aave ang rsETH sa kanilang lending pool at hindi ito inihiwalay sa iba pa nilang mga pautang, kaya lumaki ang panganib na dulot ng rsETH sa kanilang lending pool. Pagkatapos, bumaba ang halaga ng token ng Aave ng 16%. Ang kabuuang halaga na naka-lock sa Aave (TVL) ay bumaba mula $26.4 bilyon tungo sa humigit-kumulang $20 bilyon sa loob ng ilang oras. Hawak ngayon ng Aave ang humigit-kumulang $196 milyon sa bad debt na nakatuon sa rsETH at wrapped ether pairs, at maaaring mayroong hindi sapat na reserba ang Aave sa Umbrella Safety Fund nito.
Ang Capital Efficiency Trade-Off na Ayaw Gawin Ninuman
Nilinaw ni Michael Egorov, founder ng Curve Finance, na ang mga problema sa mga istrukturang ito ay lumalala sa pamamagitan ng non-isolated lending models, kung saan ang isang shared pool sa lahat ng asset ay nagdaragdag ng karagdagang panganib para sa lahat ng iba pang asset dahil sa isang iisang pool ng panganib. Kung ang rsETH ay naka-insulate sa sarili nitong lending pool, kung gayon kapag nangyari ang isang exploit na tulad nito, ang pagkalat ng problema ay limitado sa Kelp, sa halip na makaapekto sa ibang mga protocol, ibang user, o ibang mga token.
Ang dahilan kung bakit hindi ganap na inihihiwalay ng maraming protocol ang kanilang mga pool ay dahil binabawasan nito ang capital efficiency. Habang ang liquidity mula sa maraming iba't ibang protocol ay idinaragdag sa isang iisang pool, nagbibigay ito ng mas malayang daloy ng liquidity nang walang paghihigpit, na nagpapamura sa paghiram at nagbibigay ng mas mataas na yield sa mga kita na nabuo sa pamamagitan ng pagpapautang. Sa pamamagitan ng paghihiwalay ng mga lending pool, nababawasan ang panganib na nasa loob ng bawat pool, ngunit nangangailangan ito ng pagsasakripisyo ng isang uri ng capital efficiency na nagpapahintulot na mabuo ang liquidity na iyon.
Bukod pa rito, itinuro ni Egorov ang isang karagdagang isyu sa konfigurasyon ng bridge ng Kelp, na na-configure gamit ang isang solong instance ng verifier, ibig sabihin ay mayroon lamang isang verification point na ginamit upang patunayan ang mga cross-chain message na ipinadala sa at mula sa dalawang protocol na ito. Ang error sa konfigurasyong ito ay dapat na napansin nang unang i-online ang bridge, ngunit hindi ito nangyari. Samakatuwid, isang pekeng mensahe ang nakapagpalabas sa buong bridge.
Ang Cross-Chain Infrastructure ang Mahinang Link
Ang sanhi ng pag-atake ay hindi mula sa isang bug sa isang smart contract tulad ng karaniwan nating nakikita kapag nangyayari ang mga pag-atake. Ginamit ng hacker ang isang bridge para i-hack ang Kelp. Partikular na sinabi ni Egorov: "Ang cross-chain ay mahirap at hindi ligtas. Gamitin lamang ang teknolohiyang cross-chain kapag kinakailangan at gawin ito nang may matinding pag-iingat." Maraming tao ang nakarinig na nito noon ngunit binalewala ito dahil ang cross-chain ang paraan kung paano makakagawa ang industriya ng isang desentralisadong sistema ng pananalapi sa iba't ibang blockchain. Kung mayroong sampung magkakaibang network na mayroon ang iyong protocol, kailangan mo ng paraan upang ikonekta ang lahat ng mga network na iyon at ito ang halos eksklusibong lugar kung saan naganap ang pinakamalaking hack dahil sila ang mga hangganan na naghihiwalay sa bawat isa sa magkakahiwalay na sistema, kaya ang mga attacker ay karaniwang susubukang i-hack muna ang mga hangganan.
Mabilis na naging pinakamalaking DeFi hack ng 2026 ang Kelp exploit at nagsisimula pa lamang ang 2026 sa pagkasulat ng artikulong ito (apat na buwan pa lamang sa taon). Ang kabuuang halaga ng crypto na nawala mula sa mga hack, exploit, at scam sa unang quarter ng 2026 lamang ay humigit-kumulang $482 milyon. Sinabi ng Security Officer ng Ledger na ang 2026 ay "malamang na ang pinakamasamang taon para sa mga hack hanggang ngayon," na isang rekomendasyon ng isang trend sa hinaharap mula sa kanilang kasalukuyang mga trend.
Ano ang Mangyayari sa Tiwala
"Patay na ang DeFi" ang isa sa pinakamadalas na komento ng mga user ng DeFi sa social media kasunod ng kamakailang insidente — isang bagay na hindi nakakagulat dahil sa laki ng exploit, gayunpaman; maaaring hindi ito tumpak na pagtatasa ng kung ano ang nangyayari sa ekosistema ng DeFi sa yugtong ito. Gayunpaman, mayroong kakaiba sa likas na katangian ng magnitude ng kaganapang ito dahil sabay-sabay nitong naapektuhan ang cross-chain infrastructure, restaking models, at lending markets, at samakatuwid hindi ito maaaring uriin bilang kahinaan/targeted attack ng isang protocol lamang; sa halip, nagsisilbi itong stress test upang ipakita kung gaano kahigpit na konektado ang buong DeFi ecosystem sa mga pinagbabatayan nitong protocol na nagtutulungan.
Ayon kay Guillemet, ang Security Chief ng Ledger, 'Sa pangkalahatan, ang ganitong uri ng kaganapan ay nagpapahina sa tiwala sa komunidad ng DeFi patungkol sa operational integrity ng protocol ng DeFi.'
Sa kabilang banda, nag-aalok si Egorov ng alternatibong pananaw — na bagama't isang mahirap na kapaligiran, palaging natuto ang crypto mula sa mga nakaraang pagkabigo sa DeFi at naging mas malakas — bagama't, sa prinsipyo, tama siya. Gayunpaman; ang pagkatuto mula sa mga ganitong uri ng insidente ay karaniwang nagdudulot sa end user ng hindi inaasahang pagkalugi sa pananalapi. Siyam na protocol, $293 milyong halaga ng cash value ang nawala, at isang pekeng mensahe sa bridge PYMNTS.com walang argumento dito, natutunan na natin ang araling ito ngunit gaano pa karaming beses natin ito kailangang matutunan?
