Iată o detaliere completă a exploatării KelpDAO și a înghețării Arbitrum: Exploatarea (18 aprilie 2026)

#KelpDAOExploitFreeze Iată o detaliere completă a exploatării KelpDAO și a înghețării Arbitrum:
Exploatarea (18 aprilie 2026)
Pe 18 aprilie, în jurul orei 17:35 UTC, atacatorii au exploatat o vulnerabilitate în podul între lanțuri alimentat de LayerZero al Kelp DAO, drenând 116.500 rsETH în valoare de aproximativ 292 milioane de dolari — aproximativ 18% din oferta circulantă a token-ului. Hack-ul a implicat falsificarea unui mesaj între lanțuri prin contractul EndpointV2 al LayerZero, păcălind podul să elibereze rsETH neacoperit fără o ardere corespunzătoare pe lanțul sursă. Acest lucru a fost posibil datorită unei configurații slabe de 1-din-1 DVN (Rețea de Verificare a Datelor), creând un singur punct de eșec. (Crypto Times)
Kelp a folosit multisig-ul său de urgență pentru a îngheța contractele principale rsETH la aproximativ 46 de minute după drenaj, blocând o estimare suplimentară de peste 100 milioane de dolari din a fi furate.  (CoinDesk)
Contagiune DeFi
Atacatorul a depus token-uri false, neacoperite rsETH în protocoale de împrumut — în principal Aave — pentru a împrumuta ETH real și alte active împotriva lor. În cele 24 de ore după hack, balenele au retras peste 6 miliarde de dolari din Aave, împingând principalele pool-uri precum ETH, USDT și USDC la o utilizare de 100% și efectiv captivând fondurile deponenților rămași.  (CoinDesk) Aave a înghețat piețele rsETH pe V3 și V4, SparkLend și Fluid și-au înghețat piețele rsETH, iar Lido Finance a suspendat depozitele suplimentare în produsul său earnETH din cauza expunerii la rsETH.  (CoinDesk)
Înghețarea Arbitrum
Consiliul de Securitate al Arbitrum a înghețat 30,766 ETH în valoare de aproximativ 71 milioane de dolari, mutând fondurile legate de exploit într-un portofel intermediar accesibil doar prin acțiuni suplimentare de guvernare Arbitrum. Acțiunea de urgență a fost luată cu input de la autoritățile de aplicare a legii și fără a afecta alți utilizatori sau aplicații Arbitrum.  (CoinDesk)
Răspunsul hackerului și atribuire
După înghețarea Arbitrum, exploatatorul a mutat cei 75,701 ETH rămași (175 milioane de dolari) pe Ethereum mainnet și a început să spele fondurile — bridgând activele furate în loturi mici către bitcoin prin Thorchain, Umbra Cash și Chainflip. LayerZero a atribuit atacul grupului Lazarus din Coreea de Nord și subunității sale Trader Traitor, citând tactici on-chain și operaționale consistente cu campaniile anterioare susținute de stat.  (Bitcoin News)
Dezbaterea despre centralizare
Intervenția Arbitrum a stârnit o dezbatere în comunitatea DeFi, criticii susținând că expune Arbitrum ca un portofel multisig capabil să înghețe unilateral fonduri — contrar etosului de descentralizare al DeFi.  (Crypto Times)
Context mai larg
Hack-ul KelpDAO a dus pierderile totale DeFi peste 600 milioane de dolari în decurs de trei săptămâni, în timp ce valoarea totală blocată în ecosistemul mai larg a scăzut cu 25% la 82.4 miliarde de dolari.  (Bitcoin News) Disputa Kelp/LayerZero privind cine poartă responsabilitatea pentru hack — și cum vor fi socializate pierderile rămase — este în curs.