DeFi, NFT, and Web3Teknolohiyang Blockchain

Ang Bagong Hangganan ng DeFi Exploits sa 2026

Abdul RazzaqAbdul Razzaq2026-05-05
Ang Bagong Hangganan ng DeFi Exploits sa 2026

Kung iniisip mong ligtas ang iyong mga DeFi asset dahil na-audit ang smart contract, mag-isip muli. Ang $293M na pag-hack sa KelpDAO ay hindi sumira sa code kundi sirain ang tulay. Narito kung paano ang mga pinaka-sopistikadong hacker

Ang $293 Milyong DeFi Exploit na Naglantad ng Nakatagong Kahinaan

Noong Abril 18, 2026, naharap ang ecosystem ng decentralized finance (DeFi) sa isa sa pinakamalaking paglabag sa seguridad ng taon. Sa isang lubos na koordinadong pag-atake, humigit-kumulang $290–293 milyong halaga ng mga asset o humigit-kumulang 116,500 rsETH ang inubos mula sa imprastraktura ng tulay ng KelpDAO.


Sa unang tingin, maaaring mukhang katulad ito ng mga naunang DeFi exploit. Ngunit ang insidenteng ito ay natatangi dahil sa isang kritikal na dahilan: hindi ito sanhi ng depekto sa lohika ng smart contract. Sa halip, inilantad nito ang isang mas malalim at mas nakababahalang kahinaan ang kahinaan ng off-chain na imprastraktura na tahimik na pinagkakatiwalaan ng maraming protocol. Mahalaga ang pagkakaibang ito. Dahil habang nagiging mas secure ang mga smart contract sa paglipas ng panahon, ang mga sistemang nakapalibot sa mga ito ang ngayon ang nagiging pangunahing target ng pag-atake.

Source : @Jeremybtc

Ano ang KelpDAO?

Ang KelpDAO ay isang liquid restaking protocol na pangunahing binuo sa Ethereum, na idinisenyo upang pahusayin ang kahusayan ng kapital para sa mga user na nakikilahok sa mga staking ecosystem. Sa pamamagitan ng mga integrasyon sa mga restaking framework tulad ng EigenLayer, pinapayagan ng KelpDAO ang mga user na mag-restake ng ETH at makatanggap ng isang liquid derivative token na rsETH. Ang token na ito ay maaaring ilagay sa iba't ibang DeFi para sa pagpapautang (lending), collateralization, o pagpapalit (trading), na epektibong nagpapahintulot sa mga user na kumita ng yield habang pinapanatili ang pagkalikido (liquidity).


Sa unang bahagi ng 2026, lumago ang rsETH upang maging isang mahalagang asset sa loob ng restaking landscape, na lubos na isinama sa maraming DeFi protocol. Ang isang mahalagang bahagi ng pagpapalawak na ito ay umasa sa cross-chain functionality, na pinadali ng imprastraktura tulad ng LayerZero. Ang pag-asa na iyon, gayunpaman, ay naging pinakamahina na bahagi ng protocol.


Source : @kelpDao

Timeline ng Pag-atake

Mabilis na nangyari ang exploit, na nagpapakita kung gaano kabilis lumala ang mga modernong pag-atake. Bandang 17:35 UTC, sinimulan ng mga attacker ang sequence sa pamamagitan ng pagsumite ng isang pekeng cross-chain na mensahe. Ang mensahe ay maling nagpahiwatig na isang malaking halaga ng rsETH ang nasunog sa Unichain, isang L2 environment na nauugnay sa Uniswap. Dahil ang sistema ay naka-configure sa isang single-verifier setup, tinanggap ang mensahe nang walang sapat na pagsusuri sa redundancy. Nag-trigger ito ng paglabas ng humigit-kumulang 116,500 rsETH mula sa mga kontratang escrow na nakabase sa Ethereum patungo sa mga wallet na kontrolado ng attacker.


Sa loob ng ilang minuto, nawala ang mga pondo. Humigit-kumulang 46 minuto pagkatapos, namagitan ang emergency multisig ng KelpDAO, na pansamantalang huminto sa protocol. Dalawang kasunod na pagtatangka upang ubusin ang karagdagang 80,000 rsETH na nagkakahalaga ng humigit-kumulang $200 milyon ay matagumpay na nahadlangan dahil sa tugon na ito. Sa kabila ng bahagyang pagpigil, ang pangunahing pinsala ay nagawa na.

Paano Gumana ang Pag-atake

Ang nagpapalaganap ng kahalagahan ng exploit na ito ay ang pamamaraan. Sa halip na samantalahin ang isang bug sa code ng smart contract, tinarget ng mga attacker ang layer ng imprastraktura na nagpapatunay sa cross-chain communication. Ang pag-atake ay kinapalooban ng maraming koordinadong hakbang:


  1. Una, ang mga RPC node na ginamit ng verifier network ng LayerZero ay nakompromiso o manipulahin. Nagbigay ito ng kontrol sa mga attacker kung paano binibigyang-kahulugan ang data ng pagpapatunay.
  2. Pangalawa, isang distributed denial-of-service (DDoS) attack ang inilunsad laban sa mga lehitimong node. Pinilit nito ang sistema na umasa sa mga fallback node — ilan sa mga ito ay nasa ilalim ng impluwensya ng attacker. Sa kontrol na ito, gumawa ang mga attacker ng isang pekeng mensahe na lumitaw na balido sa loob ng trust model ng sistema.
  3. Sa huli, dahil sa 1-of-1 verifier configuration ng KelpDAO, sapat na ang isang pag-apruba upang pahintulutan ang paglabas ng pondo.


Ang pagpipiliang ito sa configuration, na posibleng ginawa upang bawasan ang latency at gastos, ay nagtanggal ng redundancy. At sa mga sistema ng seguridad, ang kakulangan ng redundancy ay kadalasang katumbas ng isang single point of failure (solong punto ng pagkabigo).

Pagpapatungkol: Ang Papel ng Lazarus Group

Ang mga security firm, kabilang ang LayerZero at Chainalysis, ay may mataas na kumpiyansa na iniugnay ang pag-atake sa Lazarus Group, isang organisasyong hacking na suportado ng estado na may kaugnayan sa North Korea. Mas partikular, ang subgroup na kilala bilang “TraderTraitor” ang pinaniniwalaang responsable.


Hindi ito isang nakahiwalay na insidente. Sa parehong buwan, ang Lazarus ay konektado rin sa:

  1. Ang Drift Protocol exploit, na nagresulta sa pagkalugi ng humigit-kumulang $285 milyon
  2. Isang mas maliit ngunit may kaugnayang pag-atake sa Hyperbridge


Ang namumukod-tangi ay ang pattern. Hindi ito mga opportunistic na hack na sumasamantala sa simpleng mga kahinaan. Ang mga ito ay pangmatagalan, target na operasyon, madalas na kinasasangkutan ng mga buwan ng paghahanda at maraming attack vector. Malinaw na lumipat ang pokus patungo sa mga high-value na imprastraktura — mga tulay, restaking system, at cross-chain protocol.

Agarang Epekto sa Ecosystem ng DeFi

Ang mga kahihinatnan ng pag-atake ay agaran at malawakan. Mabilis na nawala ang peg ng rsETH token, na nagdulot ng kawalang-tatag sa mga lending platform. Mabilis na kumilos ang mga protocol tulad ng Aave at iba pa upang i-freeze o paghigpitan ang rsETH bilang collateral upang maiwasan ang karagdagang systemic risk. Ang reaksyon na ito, bagaman kinakailangan, ay nag-ambag sa mas malawak na liquidity shock.


Sa loob ng ilang araw, higit sa $13 bilyon sa kabuuang halaga ang na-withdraw mula sa mga platform ng DeFi – isa sa pinakamabilis na paglabas ng kapital na naobserbahan sa mga nakaraang taon. Idiniin ng insidente ang isang mahalagang katotohanan: ang modernong DeFi ay lubos na konektado. Ang pagkabigo sa isang bahagi — lalo na ang isang tulay — ay maaaring magdulot ng domino effect sa maraming sistema, na sabay-sabay na nakakaapekto sa liquidity, collateral stability, at tiwala ng user.

Mga Aral para sa mga Protocol at User

Ang KelpDAO exploit ay nagpapatibay ng ilang kritikal na aral para sa industriya.

  1. Una, ang redundancy ay hindi na opsyonal. Ang mga sistema na umaasa sa mga solong verifier o pinasimple na trust model ay likas na mahina. Ang mga multi-verifier configuration at decentralized validation mechanism ay dapat ituring na baseline requirement.
  2. Pangalawa, ang seguridad ay dapat lumampas sa mga smart contract. Ang off-chain na imprastraktura — mga RPC node, oracle, at verification layer — ay dapat tratuhin nang may parehong antas ng pagsusuri tulad ng on-chain code.
  3. Pangatlo, mahalaga ang mga mekanismo ng pagtugon. Bagaman nagdusa ang KelpDAO ng malaking pagkalugi, ang mabilis nitong mekanismo ng pag-pause ay pumigil sa karagdagang pinsala. Nagpapakita ito ng halaga ng pagkakaroon ng mahusay na natukoy na mga kontrol sa emerhensya.
  4. Para sa mga user, parehong malinaw ang aral. Ang sobrang pagkalantad sa isang solong asset o protocol — lalo na ang umaasa sa kumplikadong imprastraktura — ay maaaring magpalaki ng panganib. Ang pag-iba-iba (diversification) at kamalayan sa mga pinagbabatayang mekanismo ay mahalaga.

Isang Pagbabago para sa Seguridad ng DeFi

Ang pag-atake na ito, kasama ng iba pang mataas na profile na exploit noong 2026, ay nagpapahiwatig ng pagbabago sa kung paano dapat lapitan ng DeFi ang seguridad. Ang industriya ay nakagawa ng malaking pag-unlad sa pag-audit ng smart contract at pormal na verifikasyon. Ngunit nag-adjust ang mga attacker. Ngayon ay tina-target na nila ang mga layer na nasa labas ng blockchain mismo — ang mga interface, communication channel, at trust assumption na nagpapagana sa scalability. Ang ebolusyon na ito ay nangangailangan ng kaukulang pagbabago sa pag-iisip. Ang seguridad ay hindi na maaaring ituring na isang checklist item na kinukumpleto bago ang deployment. Dapat itong isama sa bawat layer ng sistema, patuloy na sinusuri, at dinisenyo na isinasaalang-alang ang mga kondisyong adversarial. Ang mga protocol na kinikilala ang pagbabagong ito at mamumuhunan nang naaayon ay mas magiging handa upang mapanatili ang tiwala ng user sa isang lalong mapanganib na kapaligiran.

Konklusyon

Ang $293 milyong KelpDAO exploit ay hindi lamang isa pang entry sa listahan ng mga DeFi hack. Ito ay isang case study kung paano nagbabago ang modernong mga pag-atake at kung saan malamang na lumitaw ang susunod na mga kahinaan. Ang pangunahing isyu ay hindi isang sirang kontrata, kundi isang marupok na koneksyon. Habang patuloy na lumalaki at nagkakaugnay ang DeFi, ang mga koneksyong ito ay nagiging pinakamalakas nitong punto at pinakamalaking panganib. Malinaw ang aral: ang bilis at kahusayan ay hindi maaaring maging kapalit ng katatagan. Dahil sa kasalukuyang kapaligiran, ang pinakamapanganib na mga kahinaan ay hindi palaging nakikita sa code — umiiral ang mga ito sa mga pagpapalagay sa likod nito.


Disclaimer

Ang artikulong ito ay para sa impormasyon at layuning pang-edukasyon lamang. Hindi ito bumubuo ng payo sa pananalapi, pamumuhunan, o kalakalan. Ang Cryptocurrency at DeFi ay nagsasangkot ng malaking panganib ng pagkalugi. Laging magsagawa ng sariling pananaliksik at mag-ingat.

Ang lahat ng ipinahayag na pananaw ay pawang mga personal na opinyon lamang ng may-akda, at hindi maituturing na payo sa pamumuhunan.

Pinakabagong Mga Artikulo

Kumukuha ang Kast ng Dating Opisyal ng SEC na si Stephanie Allen upang Pangunahan ang Komunikasyon sa Polisiya
to****@gmail.com|2026-05-07
Kumukuha ang Kast ng Dating Opisyal ng SEC na si Stephanie Allen upang Pangunahan ang Komunikasyon sa Polisiya
Mabilis na Gabay para sa mga Nagsisimula sa Futures Trading sa LBank
abeebstacks|2026-05-07
Mabilis na Gabay para sa mga Nagsisimula sa Futures Trading sa LBank
Ang Katotohanan Tungkol sa Crypto at Iyong Pera sa Buwis — Ang Sinasabi ni Scott Bessent sa Kongreso ay Magpapatigil sa Bitcoin
ob****@gmail.com|2026-05-07
Ang Katotohanan Tungkol sa Crypto at Iyong Pera sa Buwis — Ang Sinasabi ni Scott Bessent sa Kongreso ay Magpapatigil sa Bitcoin
Humiling na palitan ng Grinex huminto sa kalakalan matapos ang $13.7M na pag-hack
Natalia Ivanov|2026-05-07
Humiling na palitan ng Grinex huminto sa kalakalan matapos ang $13.7M na pag-hack
Inaasahan ng ARK ni Cathie Wood na Aabot ang Bitcoin Market Cap sa $16 Trillion
to****@gmail.com|2026-05-07
Inaasahan ng ARK ni Cathie Wood na Aabot ang Bitcoin Market Cap sa $16 Trillion
RISCOIN Philippine Recruitment Drive: Isang Lumalalang Alalahanin na Seryosong Tinitingnan Ng Mga Regulator
ra****@gmail.com|2026-05-07
RISCOIN Philippine Recruitment Drive: Isang Lumalalang Alalahanin na Seryosong Tinitingnan Ng Mga Regulator

Indeks ng Takot at Kasakiman

Kalakal
19
Matinding takot
Ano sa tingin mo ang kasalukuyang sentimyento ng merkado?
+78.57%+21.42%
Kalakalan ng SpotMga futures
Walang data