Pada 18 April 2026, protokol restaking likuid KelpDAO mengalami eksploit DeFi terbesar tahun ini selepas penyerang mengalirkan kira-kira 116,500 rsETH, bernilai $292 juta, daripada jambatan yang dikuasakan oleh LayerZero. LayerZero Labs mengaitkan serangan itu dengan subkumpulan Lazarus Group Korea Utara, βTraderTraitorβ, dan mengenal pasti konfigurasi jambatan penyemak tunggal KelpDAO sebagai punca utama, membolehkan nod RPC yang telah diracuni untuk memalsukan mesej silang rantai yang sah.
Penyerang membiayai dompet terlebih dahulu melalui Tornado Cash kira-kira sepuluh jam sebelum pelaksanaan, kemudian mengeksploitasikan konfigurasi penyemak untuk mencetuskan pelepasan dana tanpa kebenaran. Siasatan LayerZero mendedahkan bahawa dua daripada tiga nod dalam rangka penyemak desentralisasi (DVN) telah diracuni, menyebabkan kegagalan beralih kepada nod yang terkompromi. Konfigurasi penyemak pelbagai yang benar-benar kukuh seharusnya memerlukan persetujuan merentasi DVN bebas, mencegah eksploit. LayerZero sejak itu enggan menandatangani mesej untuk tetapan DVN 1-of-1 pada masa hadapan.
Selepas pencerobohan itu, rsETH yang dicuri telah didepositkan sebagai cagaran di Aave V3, menjana lebih daripada $236 juta hutang buruk terkumpul dalam pasangan rsETH-WETH. Rizab Umbrella Aave telah diaktifkan untuk menampung defisit, dan sekatan pasaran dikenakan di seluruh platform pinjaman termasuk SparkLend, Fluid, Lido Finance, dan Ethena. TVL Aave turun sebanyak $6.6 bilion, daripada $26.4 bilion kepada hampir $20 bilion, menonjolkan impak sistemik eksploitasi interoperabiliti.
Pengasas Tron, Justin Sun, yang terdedah kepada kedudukan Aave, telah menarik keluar kira-kira 65,584 ETH ($154 juta) untuk memitigasi kerugian peribadi sebelum membuat permohonan terus kepada penggodam melalui X untuk berunding. Sun memberi amaran bahawa terus tidak bekerjasama boleh menenggelamkan kedua-dua KelpDAO dan Aave, menyeru pemulangan dana yang dicuri bagi mengekalkan kestabilan DeFi.
Para pemimpin industri menekankan piawaian keselamatan jambatan yang lebih kukuh dan penggunaan konfigurasi berduplikasi untuk melindungi daripada pelaku ancaman berstatus negara.
Insiden itu membangkitkan semula seruan terhadap audit integrasi yang ketat, pemantauan masa nyata, dan rangka kerja pengesahan desentralisasi untuk mengamankan infrastruktur silang-rantai. Dengan jumlah kerugian hack pada bulan April kini melebihi $606 juta, pasukan protokol dan firma keselamatan sedang berlumba untuk melaksanakan langkah pertahanan menjelang eksploit berprofil tinggi berikutnya.
Komen (0)