Jedna pojedyncza pomyłka w konfiguracji otworzyła drzwi. Jeden przeoczony most, pozostawiony bez wystarczającej uwagi, wystarczył. Największy incydent DeFi tego roku nie wynikał z geniuszu, lecz z zaniedbania.
18 kwietnia 2026. Czas: 17:35 UTC. Ktoś przeszedł przez most LayerZero Kelp DAO z 116,500 rsETH.. Ten łup? Prawie 292 miliony dolarów. 46 minut minęło, zanim Kelp wstrzymał swoje kontrakty. W tym czasie około 250 milionów dolarów w skradzionych tokenach zmieniło właściciela, przekształcone w ETH za pomocą portfela dyskretnie załadowanego wcześniej przez Tornado Cash. Każdy ruch był zaplanowany z wyprzedzeniem. Nic nie pozostawiono przypadkowi. Szkody wyrządzone.
To naruszenie oznacza największy hack DeFi do tej pory w 2026 roku - żadne inne zdarzenie nie jest blisko.
Co zostało naruszone i jaką metodę zastosowano
Morze aktywności krąży wokół Kelp DAO, działa jak maszyna, która pozwala ludziom wpłacać ETH lub pewne stawkowane aktywa. Zamiast stać w miejscu, te depozyty płyną do EigenLayer, aby zbierać dodatkowe zwroty z czasem. Wychodzi rsETH, token, którym można swobodnie handlować lub przenosić. Problemy zaczęły się: łącznik między łańcuchami, trzymający rezerwy dla zapakowanego rsETH, został uszkodzony. To połączenie wspiera operacje na ponad dwudziestu sieciach. Arbitrum ustala tempo, potem przychodzi Base, Linea, nawet mniej znane jak Blast i Scroll, wszystkie związane w sieć.
Fałszywy sygnał przeszedł przez obrony LayerZero, oszukując system, aby zaakceptował uszkodzone dane. Z tego powodu reakcja połączenia Kelp była taka, jakby zgoda pochodziła z zaufanego źródła. Rozpoczęto transfer bez rzeczywistego upoważnienia. Wyszedł 116 500 rsETH, przekierowany zanim ktokolwiek mógł to zatrzymać. Cel? Adres już pod kontrolą napastnika.
Tylko jedna fałszywa wiadomość wszystko zaczęła. Naruszenie miało miejsce, ponieważ pojedynczy most w to uwierzył. Po tym wszystko się zawaliło.
Pojedynczy sygnatariusz zarządzał zatwierdzeniami, więc tylko jedna osoba miała władzę nad transakcjami. Z tego powodu haker przeszedł, podpisując transfer, aby stworzyć mnóstwo rsETH bez żadnego zabezpieczenia na oryginalnej sieci. Michael Egorov, który założył Curve Finance, powiedział to wprost: "Ryzyko pojawia się, jeśli wszystko opiera się na jednej osobie."
Zaraźliwość poruszała się szybko
Oto kiedy rzeczy stają się brzydsze. Nie tylko złodziej złapał gotówkę, ale przekształcił ją w narzędzie do większej krzywdy.
Fala pożyczonego wETH przeszła przez Aave V3, po tym jak hakerzy skierowali skradzione rsETH do protokołu. Jedno naruszenie spirali, nagle efekty falowe chwyciły większość zdecentralizowanych finansów.
Spadek z 26,4 miliarda dolarów 18 kwietnia, zablokowane fundusze Aave spadły blisko 20 miliardów dolarów do niedzielnego poranka w USA, tracąc 6,6 miliarda dolarów, gdy token AAVE spadł o 16%. Z powodu zamieszania, SparkLend, Fluid i Lido wstrzymali handel na rynkach rsETH bez opóźnień. Moneta RAVE RaveDAO spadła o 90%, spadając z 27,33 dolarów do zaledwie 1,15 dolara, zacierając ponad 5 miliardów dolarów wartości rynkowej podczas jednego sesji. Choć oczekiwano stabilności, chaos szybko rozprzestrzenił się na platformach, gdy liczby zaczęły spadać.
Coś jeszcze wydarzyło się później - dwa kolejne próby wycofania 40 000 rsETH, około 100 milionów dolarów, zostały wstrzymane, gdy Kelp wcisnął hamulec awaryjny. Nie że to pomogło zbyt wiele po tym, jak 292 miliony dolarów zniknęły.
To nie jest wypadek, ale powtarzająca się sekwencja.
Prawda jest taka, że 2026 nie był przyjazny dla bezpieczeństwa DeFi.
Naruszenie dotknęło Drift Protocol hostowanego na Solanie na początku 1 kwietnia, znikając blisko 285 milionów dolarów. Incydent przypisuje się hakerom związanym z Koreą Północną. Środki zniknęły szybko podczas eksploatacji.
Fala włamań uderzyła w kilka platform, CoW Swap poczuł to jako pierwszy, potem Zerion z trudem znieśli presję. Rhea Finance następnie poddała się, jej obrony ustąpiły niespodziewanie. Silo Finance pękło później, dołączając do łańcucha naruszeń, które rozwijały się tydzień po tygodniu.
Sam I kwartał 2026 roku oszustwa i włamania wyczerpały około 482 milionów dolarów w cyfrowych walutach. Chociaż naruszenia wywołały duże uderzenia, oszustwa również odegrały swoją rolę w tych miesiącach.
Weekend sprawił, że Kelp wzrósł o dodatkowe 292 miliony dolarów.
Główny oficer bezpieczeństwa Ledger powiedział to jasno: "Ogólnie rzecz biorąc, zaufanie do protokołów DeFi jest podważane przez tego rodzaju wydarzenia. A 2026 prawdopodobnie będzie najgorszym rokiem pod względem włamań, ponownie."
Twarda rzeczywistość budulców DeFi.
Okazuje się, że rzecz, której nikt nie chce przyznać: to, co czyni DeFi elastycznym, również łamie je, gdy pojawia się stres. Kompozycyjność buduje siłę przez połączenia, ale te linki stają się słabymi punktami pod presją.
Jedna chwila rsETH służył jako zaufane zabezpieczenie na Aave, SparkLend, Fluid, Compound i Euler, zbudowane w ten sposób od momentu, gdy otwarte połączenia definiują sens istnienia DeFi. Te systemy pozwalają sobie na swobodną działalność. To jest zaprojektowane. A jednak tuż po naruszeniu, fałszywe aktywa zalały głównie Aave, szybko używane do wyciągania prawdziwego ETH poprzez pożyczki, przekształcając izolowane kradzieże w powszechną presję.
Gdy jedna część się psuje, każdy system, który na niej polega jako zabezpieczenie, również zostaje dotknięty. To nie jest błąd gdzieś. To sposób, w jaki działa cały system.
Gdy rezerwa mostu się wyczerpuje, ludzie trzymający tokeny poza Ethereum zaczynają się zastanawiać, czy te tokeny są nadal zabezpieczone. Ta obawa wywołuje pośpieszne wyjścia z łańcuchów warstwy 2, mimo że podaż Ethereum nie jest bezpośrednio dotknięta. Nagle Kelp może potrzebować rozdzielić restakowane aktywa tylko po to, aby pokryć wnioski o wypłatę.
Jedna awaria pociąga za sobą kolejną. Zawsze tak się dzieje.
Co musi się zmienić
To, co jest potrzebne, nie jest ukryte. Jednak postęp wciąż pozostaje w tyle.
Mosty muszą wymagać wielu podpisów, zamiast tylko jednego. Pojedynczy złamany klucz nie może ich otworzyć, gdy wymagane są wiele zgód. Jeden słaby ogniwo może zawieść, ale cały system pozostaje zamknięty.
Jeśli chodzi o onboardowanie zabezpieczeń, wchodzą surowsze zasady. Ustawienia pożyczkowe muszą teraz stawić czoła presji, sprawdzając projekt mostu, co musi być pierwsze, a nigdy drugie. Restakowane tokeny nie prześlizgną się bez dokładnego spojrzenia na ich fundamenty. Sekwencja się odwraca: kontrola przed akceptacją, a nie odwrotnie. Protokoły mniej się wahają, gdy struktura jest potwierdzona wcześnie. Bezpieczeństwo opiera się na czasie, jeden zły porządek ryzykuje więcej niż opóźnienia.
To opóźnienie ma znaczenie. Kelp czekał do 20:10 UTC, aby cokolwiek powiedzieć, mimo że naruszenie zaczęło się znacznie wcześniej. Całe trzy godziny minęły, zanim ich pierwsza wiadomość się pojawiła. Taka cisza nie zadziała, gdy systemy już się psują.
Gdy mosty zachowują się dziwnie, systemy natychmiast zatrzymują się przez wyłączniki obwodowe między protokołami, zamiast czekać godzinami na interwencję człowieka. Alerty wywołują natychmiastowe zatrzymania w powiązanych sieciach, a nie opóźnione naprawy. Szybkie zatrzymania występują, zanim problemy rozprzestrzenią się poza punkty kontrolne. Maszyny reagują szybciej niż ludzie, gdy połączenia pokazują znaki ostrzegawcze. Zawieszenia są automatycznie wdrażane, gdy pojawiają się nieprawidłowości w kanałach komunikacyjnych.
Michael Egorov dostrzega pozytyw w zniszczeniu: "Krypto to surowe środowisko, które żadny bank by nie przetrwał, jednak my z tym pracujemy. DeFi nauczy się z tego incydentu i stanie się silniejsze niż przedtem."
Może tak być. Choć gdy lekcje kosztują po 292 miliony dolarów każda, ceny szybko rosną.
Jedna wada otworzyła drzwi. Fałszywa wiadomość przeszła. 46 minut później miliony zniknęły. To naruszenie przekroczyło straty Drift o wąski margines. Teraz stoi jako największy upadek DeFi w 2026 roku. Połączenia między systemami zamieniły małe pęknięcia w całkowitą porażkę.
O krok przed zabezpieczeniami, mosty stają się coraz bardziej skomplikowane. Gdy brakuje różnorodności wśród walidatorów, słabe punkty pozostają. Zasady dotyczące zabezpieczeń również nie nadążają. Dopóki te luki pozostają otwarte, takie historie będą się powtarzać. To nie kwestia, czy, lecz kiedy.
Przetrwanie DeFi nie jest tym, co jest testowane. Szybkość to jak szybko może się zmienić, zanim pojawi się kolejny błąd na 292 miliony dolarów.
✅️ ŚLEDŹ WIĘCEJ✅️
