Pe 20 aprilie, protocolul descentralizat Kelp DAO a fost victima unui atac cibernetic masiv, cu pierderi ce depășesc 300 de milioane de dolari. Chiar în primele ore după incident, a fost clar că acesta este unul dintre cele mai mari jafuri din sectorul DeFi din ultimii ani. În acest articol, vom analiza ce se știe până acum și vom examina în detaliu desfășurarea anchetei în primele 18 zile după hack.
Dacă în primele ore după incident imaginea evenimentelor era fragmentară, în decursul următoarelor zece zile, investigația a adunat o cantitate semnificativă de detalii tehnice și fapte.
Atacul 1
Faza 1
Atacul inițial
A durat o minută.
Punctul de intrare a fost ales ca fiind adaptorul cross-chain rsETH bazat pe infrastructura LayerZero. Breșa a avut loc din cauza compromiterii infrastructurii nodurilor RPC. Aceasta s-a realizat printr-o eroare de arhitectură. Compromiterea întregului sistem a început de la un singur identificator compromis.
Faza 2
Zona principalelor evenimente
După breșa sistemului, infractorii au folosit o schemă vicleană: au trimis un mesaj fals despre „blocarea” reușită a fondurilor.
Pentru cei care nu sunt familiarizați cu arhitectura DeFi, în acest context, „blocarea” funcționează nu ca o înghețare a contului, ci ca o confirmare a contribuției. În condiții normale, procesul arată astfel:
Etapa 1
Introduci un activ (de exemplu, 100$). Sistemul înregistrează primirea fondurilor și le „blochează” în depozitul său ca garanție.
Etapa 2
Numai după succesul primei etape se lansează procesul automat de emitere a noilor token-uri, pe care le primește utilizatorul.
Anume această logică au folosit hackerii. Au determinat sistemul să creadă că primul pas a fost finalizat cu succes, deși activele reale nu au fost depuse. Considerând mesajul fals ca fiind legitim, protocolul a emis din greșeală 116.500 de rsETH fără nicio garanție reală. Datorită integrării cu tehnologia LayerZero, infractorii au putut extinde instantaneu acest impact pe mai multe blockchain-uri. Acest lucru le-a permis să retragă fonduri din peste 20 de rețele, inclusiv Arbitrum, Base, Linea și altele, transformând eroarea unui protocol într-o pierdere de lichiditate pe scară largă în întreaga ecosistem.
Faza 3
Ieșire și legalizare
După ce au obținut mii de token-uri illiquide rsETH (care de fapt nu aveau acoperire reală), hackerii le-au folosit ca garanție în protocoalele de creditare, inclusiv Aave.
Cum funcționează (pe scurt):
Imaginează-ți un amanet obișnuit. Dacă aduci acolo o pictură, evaluatorul o va examina cu atenție în timp real, înainte de a-ți oferi bani. Totuși, protocoalele criptografice de creditare sunt sisteme automate care funcționează pe baza unor algoritmi predefiniți. Hackerii au „aduce” în acest amanet digital opere de artă false (rsETH illiquide). Deoarece sistemul a perceput acești tokeni ca fiind legitimi, a emis automat fonduri lichide reale - Ethereum (WETH) - în schimbul lor ca garanție. Infractorii au obținut criptomonede reale, lăsând protocolului „bancnote” fără valoare în schimb. Pentru a șterge urmele, fondurile obținute au fost dispersate imediat între sute de adrese anonime. Acest lucru a făcut ca procesul de urmărire și recuperare a activelor să fie o sarcină extrem de complicată pentru analiști.
Contraacțiuni
Administratorii Kelp DAO au activat „oprirea de urgență” pentru toate smart contractele, pentru a preveni retragerile ulterioare de fonduri. Atacul a afectat cel puțin 9 protocoale adiacente, iar echipa a început o sincronizare urgentă cu alte platforme DeFi pentru a izola piscinele de lichiditate afectate.
În primele minute, echipele de securitate cibernetică au fost mobilizate, inclusiv:
Cyvers:
Una dintre primele echipe care a detectat activitatea anormală și a confirmat breșa
Halborn
A publicat un raport tehnic detaliat, în care a explicat cauza breșei - o vulnerabilitate în configurația verificatorului podului cross-chain.
PeckShield
Au direcționat forțele pentru a analiza tranzacțiile.
Chainalysis și Elliptic
Urmărirea activelor furate.
După primele contramăsuri, părea că această poveste va urma un parcurs logic de investigație, comunicare etc. Totuși, după 20 de minute s-a întâmplat ceea ce ar fi putut duce acest jaf la un nivel de clasificare a consecințelor și mai ridicat.
Atacul 2
În ciuda contradicțiilor după evenimentele menționate mai sus, sistemul a fost compromis și hackerii au lovit din nou.
Punctul de intrare au fost aceleași noduri RPC compromise.
În acel moment, principalele smart contracte erau deja înghețate de echipele de protecție, iar pentru atac a fost ales un alt drum. A fost trimis un nou pachet de date cu o confirmare falsă de "ardere" a token-urilor pe una dintre rețele. Ideea principală era să forțeze podul să emită o nouă porție de rsETH neacoperite deja pe o altă rețea.
Conceptul pe scurt:
Atunci când se trimit 100 de monede dintr-o rețea într-alta, se pot distinge mai multe faze.
Faza 1
Rețeaua din care au fost trimise monedele înregistrează arderea lor condiționată, formând practic un bloc de date care servește într-o anumită măsură ca un chitanță. Aceasta spune direct: a fost formulată o cerere pentru transferul unei cantități specifice de monede.
Faza 2
Dacă sunt rețele interconectate, conform algoritmilor de verificare, cealaltă rețea începe să primească date. Dacă verificarea a fost efectuată deja pe cealaltă rețea, se inițiază emiterea celor 100 de monede. Hackerii au trimis un mesaj fals despre acțiunile reușite ale fazei 1, care de fapt nu a avut loc. În cazul succesului s-ar fi obținut între 95 și 105 milioane de dolari sub formă de rsETH.
Contramăsuri ale echipelor de securitate
Pe lângă concentrarea eforturilor asupra consecințelor atacului anterior, o parte din echipe a protejat „perimetrul”. Ca urmare a separării reușite a forțelor, consiliul de securitate Arbitrum a blocat încercarea de retragere a fondurilor la nivelul smart contractelor și atacul a eșuat.
Cine stă în spatele atacului
Nu au fost formulate acuzații oficiale împotriva unor persoane sau grupuri de stat. Principala suspectă a atacului masiv asupra Kelp DAO, care a avut loc în aprilie 2026, este gruparea nord-coreeană de hackeri Lazarus Group (în special subdiviziunea TraderTraitor). Raporturile anterioare de la LayerZero Labs, precum și analizele companiilor Chainalysis, Halborn și detectivul blockchain ZachXBT, indică Lazarus Group ca cel mai probabil executant.
Investigația breșei Kelp DAO, care a avut loc în aprilie 2026, a reunit echipe internaționale de securitate cibernetică, autorități de aplicare a legii și grupuri specializate de reacție rapidă pe blockchain. Deoarece atacul este asociat cu grupul nord-coreean Lazarus Group (în special subgrupul TraderTraitor), investigația are un caracter global.
Echipele de investigație de frunte
Echipa Kelp DAO și auditorii
Lucrează la remedierea vulnerabilităților și la recuperarea datelor din jurnalele nodurilor infectate.
LayerZero Labs
A efectuat o analiză a infrastructurii proprii (noduri RPC), care a fost folosită ca punct de intrare.
Consiliul de Securitate Arbitrum
Organul de conducere al rețelei Arbitrum, care a coordonat înghețarea activelor.
SUA
Chainalysis
A furnizat un raport detaliat, în care a confirmat că atacul a fost direcționat împotriva infrastructurii off-chain, nu împotriva smart contractelor.
TRM Labs
Se ocupă activ cu urmărirea în timp real a portofelelor infractorilor.
China/Singapur
PeckShield
Ajută la urmărirea rutelor de transfer al activelor furate prin diferite protocoale de confidențialitate.
Israel
Cyvers
Una dintre primele echipe care a detectat breșa și a oferit o analiză tehnică a modului în care hackerii și-au spălat banii prin THORChain și BitTorrent.
Coreea de Sud
Colaborează activ prin date de inteligență cu privire la activitățile hackerilor nord-coreeni.
Comunitatea internațională
Grupul de reacție rapidă și securitate SEAL. S-au alăturat investigației anterioare și au ajutat la minimizarea pierderilor ulterioare.
Compensație
Sursele de fonduri pentru compensație:
Fonduri înghețate (71 milioane de dolari)
Acestea sunt aceleași active de pe Arbitrum, care au fost blocate de Consiliul de Securitate al rețelei. Au fost returnate în Kelp DAO printr-o votare specială de guvernare.
Fondul propriu de trezorerie
Echipa Kelp a folosit comisioanele acumulate și o parte din rezervele proprii pentru a acoperi.
Vânzarea token-urilor KELP
A fost efectuat un tur rapid de finanțare prin vânzarea token-urilor proiectului către fonduri de capital de risc cu un discount mare, pentru a obține rapid lichiditate.
Planul de recuperare
Prioritate pentru investitorii retail
Utilizatorii obișnuiți care dețineau sume mici în rsETH au avut acces la retragerea fondurilor primii.
„Cecuri de datorie” tehnice
Pentru cei care nu au dorit să aștepte 6 luni pentru o rambursare completă, Kelp a emis token-uri speciale kLoss. Acestea reprezentau dreptul la o parte din profiturile viitoare ale protocolului. Utilizatorii puteau fie să le păstreze până la rambursarea completă, fie să le vândă pe piața secundară celor care erau dispuși să aștepte.
Rolul LayerZero
Deoarece breșa a avut loc prin infrastructura LayerZero, compania dezvoltatoare (LayerZero Labs) a alocat un grant de 10 milioane de dolari ca un gest de bunăvoință pentru a sprijini utilizatorii afectați, deși din punct de vedere juridic nu și-au recunoscut întreaga vinovăție.
Pe 6 aprilie, echipa Kelp DAO a anunțat oficial renunțarea la utilizarea sistemelor LayerZero și trecerea la infrastructura Chainlink.
Statusul de azi
Cea mai mare parte a utilizatorilor (peste 98%) și-a recuperat complet pozițiile. Cu toate acestea, marii investitori instituționali sunt încă în proces de primire a ultimelor tranșe conform programului de deblocare.
Concluzie
Breșa Kelp DAO a devenit oficial una dintre cele mai mari furturi din ultimii ani. Cu toate acestea, investigația a relevat că după atacul inițial a urmat un al doilea val. Datorită profesionalismului echipelor de securitate cibernetică, acest atac repetat a fost complet respins, ceea ce a redus pierderile potențiale cu aproximativ 40%. Cu toate acestea, situația rămâne complexă. Problema protecției datelor devine critică, având în vedere creșterea rapidă a numărului de proiecte și perspectiva transformării sistemelor cripto într-o fundație financiară completă pentru întregi state.