Kelp DAO:n 293 miljoonan dollarin ryöstö: Siltaisku, joka mursi DeFin suurimmat oletukset
18. huhtikuuta 2026 Pohjois Korean Lazarus ryhmä vei Kelp DAO:lta 293 miljoonaa dollaria huijaamalla sen LayerZero sillan luomaan 116 500 katteetonta rsETH tokenia – kyseessä ei ollut älysopimusvirhe, vaan ketjujen ul...
What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited oThe Kelp DAO exploit wasn't a smart contract bug—it was an attack on off-chain bridge infrastructure that no one had audited.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited o. Article summary: On April 18, 2026, North Korea's Lazarus Group executed the largest DeFi exploit of the year, draining ~$293 million (116,500 rsETH) from Kelp DAO's cross-chain bridge by attacking off-chain LayerZero infrastructure — no. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Kelp DAO exploit,DeFi security 2026,cross-chain bridge risks,crypto hack analysis,LayerZero vulnerability,institutional crypto adoption. # Kelp DAO Exploit: How a $293 Million DeFi" source context "Kelp DAO Exploit: $293M DeFi Hack Exposes Critical Security Risks ..." Reference image 2: visual subject "# The $290
openai.com
huhtikuuta 2026 kello 17:35 UTC hyökkääjä kutsui yhtä funktiota Kelp DAO:n LayerZero-pohjaisella ketjujen välisellä sillalla ja poistui 116 500 rsETH:n kanssa – mikä vastasi noin 293 miljoonaa dollaria ja 18 prosenttia tokenin koko liikkeessä olevasta määrästä . Koko operaatio vei 46 minuuttia. Hyökkääjä ei käyttänyt älysopimuksen bugia, vaan iski infrastruktuuriin, jota kukaan ei ollut ajatellut tarkastaa.
Tietomurto, jonka takana oli Pohjois-Korean Lazarus-ryhmä, on vuoden 2026 suurin DeFi-ryöstö. Se ohitti 1. huhtikuuta tapahtuneen Drift Protokollan 285 miljoonan dollarin hakkeroinnin, joka oli myös Lazaruksen käsialaa ja toteutettiin kuuden kuukauden sosiaalisen manipuloinnin avulla . Yhdessä nämä kaksi iskua nostivat Pohjois-Korean varastaman kryptovaluutan yli 578 miljoonaan dollariin 18 päivässä – mikä vastasi 76 prosenttia kaikesta vuoden 2026 hakkerointiarvosta siihen mennessä .
Mutta Kelp DAO:n isku oli erilainen. Se ei ollut kooditason haavoittuvuus, vaan rakenteellinen epäonnistuminen siinä, miten DeFi luottaa ketjujen välisiin viesteihin – ja seuraukset paljastivat sokean pisteen, jota koko ala nyt kiirehtii korjaamaan.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "Kelp DAO:n 293 miljoonan dollarin ryöstö: Siltaisku, joka mursi DeFin suurimmat oletukset"?
18. huhtikuuta 2026 Pohjois Korean Lazarus ryhmä vei Kelp DAO:lta 293 miljoonaa dollaria huijaamalla sen LayerZero sillan luomaan 116 500 katteetonta rsETH tokenia – kyseessä ei ollut älysopimusvirhe, vaan ketjujen ul...
What are the key points to validate first?
18. huhtikuuta 2026 Pohjois Korean Lazarus ryhmä vei Kelp DAO:lta 293 miljoonaa dollaria huijaamalla sen LayerZero sillan luomaan 116 500 katteetonta rsETH tokenia – kyseessä ei ollut älysopimusvirhe, vaan ketjujen ul... Seurannaisvaikutukset olivat valtavat: Aave kärsi 230 miljoonan dollarin luottotappiot väärennetystä rsETH vakuudesta, Arbitrumin turvallisuusneuvosto jäädytti 71 miljoonaa dollaria, ja koko DeFi sektorin likviditeett...
What should I do next in practice?
Tapauksen rakenteellinen opetus: DeFin turvallisuusauditoinnit olivat tuijottaneet älysopimuksia ja jättäneet huomiotta siltojen varmentajarakenteet, solmujen operatiivisen turvallisuuden ja ketjun ulkopuoliset viesti...
Kuinka ryöstö oikeasti toimi: yhden varmentajan verkko ja väärennetty viesti
Kelp DAO on likvidi uudelleenstakausprotokolla (liquid restaking protocol), joka laskee liikkeelle rsETH:iä yli 20 lohkoketjuverkossa LayerZeron Omnichain Fungible Token -sillan kautta . Kun käyttäjä silloi rsETH:iä takaisin Ethereumin pääverkkoon, LayerZeron viestikerros toimittaa ketjujen välisen ohjeen, joka käskee pääverkon siltasopimusta vapauttamaan tokenit vakuustalletuksesta.
Vapautuksen turvallisuus riippuu hajautetuista varmentajaverkoista (Decentralized Verifier Networks, DVN) – lohkoketjun ulkopuolisista solmuista, jotka todistavat viestin oikeellisuuden. Kelp DAO oli määrittänyt siltansa "1-of-1"-kynnyksellä, mikä tarkoitti, että yksikin varmentaja riitti hyväksymään minkä tahansa ketjujen välisen viestin .
Hyökkääjä murtautui Kelpin sisäisiin RPC-solmuihin ja teki palvelunestohyökkäyksen ulkoisiin solmuihin, jättäen toimintaan vain tuon yhden varmentajan. Sille syötettiin väärennetty viesti, joka väitti 116 500 rsETH:n tulleen poltetuksi lähdeketjulla. Varmentaja hyväksyi viestin, Ethereumin sopimus totteli, ja varat vapautettiin hyökkääjän hallitsemaan osoitteeseen .
Chainalysis vahvisti, että jokainen lohkoketjutapahtuma näytti standardien turvatyökalujen silmin täysin lailliselta, koska koko murto tapahtui ketjun ulkopuolella – infrastruktuuri- ja solmutasolla . Perinteiset älysopimusauditoinnit olivat täysin hyödyttömiä.
Kelpin hätämoniallekirjoitus (multisig) pysäytti sopimukset 46 minuuttia alkuperäisen tyhjennyksen jälkeen, estäen arviolta 200 miljoonan dollarin lisähyökkäykset .
Rahanpesu: kuinka 220 miljoonaa dollaria katosi kuudessa viikossa
Hyökkääjä ei jäänyt istumaan varastettujen tokenien päälle. Muutamassa tunnissa 89 567 rsETH:iä 116 500:sta oli talletettu Aave V3:een vakuudeksi, ja hyökkääjä lainasi noin 82 650 WETH:iä ja 821 wstETH:iä – puhtaita, likvidejä omaisuuseriä – ennen kuin kukaan ehti jäädyttää positioita . Samanlaista vakuudellista lainaamista tapahtui Compoundissa ja Eulerissa, tuottaen yhteensä noin 74 000 puhdasta ETH:iä .
Sitten alkoi varsinainen rahanpesu.
Seuraavien kuuden viikon aikana hyökkääjä pesi lähes kaikki jäädyttämättömät varastetut varat – noin 220 miljoonaa dollaria – jättäen vain noin 1,7 miljoonaa dollaria jäljitettäväksi alkuperäisiin hyökkääjän lompakoihin 1. kesäkuuta 2026 mennessä . Pesuketju noudatti tarkoituksellista kaksivaiheista kaavaa:
Vaihe yksi: Tornado Cashia käytettiin katkaisemaan alkuperäiset lohkoketjulinkit ja hämärtämään tapahtumakaavio .
Vaihe kaksi: Varat ohjattiin Wasabi Walletin kautta CoinJoin-tyyliseen Bitcoin-sekoittamiseen, minkä jälkeen ne sillattiin takaisin Ethereumiin ketjujen välisten protokollien kautta – pääasiassa THORChainilla, joka käsitteli noin 80 miljoonaa dollaria ETH-Bitcoin-vaihdoissa yhden 24 tunnin ikkunan aikana, nostaen THORChainin vaihtovolyymin 394 miljoonaan dollariin eli noin 11-kertaiseksi päivittäiseen keskiarvoon verrattuna .
TRM Labs vahvisti myöhemmin, että THORChain toimi johdonmukaisena siltavalintana Pohjois-Korean suurimmissa ryöstöissä, eikä yksikään operaattori ollut halukas jäädyttämään tai hylkäämään siirtoja vuoden 2025 Bybit-murron tai Kelp DAO:n ryöstön aikana .
NS3.AI nosti esiin myös uuden yksityiskohdan: hyökkääjät käyttivät itse LayerZeroa siirtääkseen ainakin 500 000 dollaria varastetuista varoista ketjujen välillä pesuvaiheen aikana – tämä oli ensimmäinen kirjattu tapaus, jossa samaa sovellusta käytettiin sekä itse varkauteen että osaan rahanpesusta .
Arbitrumin turvallisuusneuvoston jäädytys: 71 miljoonaa dollaria pysäytettiin lennosta
Kaikkia varoja ei saatu ulos. Huhtikuun 20. päivänä 2026 kello 23:26 Yhdysvaltain itärannikon aikaa Arbitrumin turvallisuusneuvosto toteutti hätätoimen ja jäädytti 30 766 ETH:iä – noin 71 miljoonaa dollaria eli noin neljäsosa koko varastetusta summasta – jotka olivat hyökkääjän hallitsemassa osoitteessa Arbitrum One -verkossa .
Neuvosto toimi lainvalvontaviranomaisten antamien tietojen perusteella ja siirsi varat hallinnon hallitsemaan välilompakkoon. Yhdeksän kahdestatoista neuvoston jäsenestä äänesti jäädytyksen puolesta . Varat voidaan vapauttaa vain Arbitrumin hallintoäänestyksen kautta .
Toukokuun 8. päivänä 2026 Arbitrumin turvallisuusneuvosto hyväksyi yhteisen ehdotuksen varojen sulattamiseksi, tavoitteena nopeuttaa rsETH-vakuuksien takaisinperintää ja palauttaa likviditeetti kärsineille käyttäjille. Palautusprosessi on edelleen kesken lainvalvontaviranomaisten kanssa .
Aaven 230 miljoonan dollarin herätyssoitto ja riskikehyksen mullistus
Aave kärsi pahimmat toissijaiset vahingot. Hyökkääjä talletti 89 567 väärennettyä rsETH:iä Aave V3:een ja lainasi noin 230 miljoonaa dollaria puhtaita omaisuuseriä – lainoja, joista tuli perimäkelvottomia luottotappioita, kun rsETH paljastui katteettomaksi .
Aaven Protocol Guardian jäädytti rsETH- ja wrsETH-reservit kaikissa V3-käyttöönotoissa noin kello 19:00 UTC 18. huhtikuuta, asettaen lainan ja vakuuden arvon suhteeksi nollan yhdellätoista markkinalla, mukaan lukien Ethereum, Arbitrum, Avalanche ja Optimism . WETH-lainaaminen – DeFin rahoitusputkiston ydin – jäädytettiin käytännössä kuudessa verkossa.
Toukokuun 2026 puoliväliin mennessä yli 95 prosenttia katteettomista tokeneista oli saatu takaisin, ja jäljelle jäävän vajeen odotetaan katettavan Aave DAO:n kassalla ja DeFi United -koalitiolla . Aave palautti normaalit wETH-lainarajat kuudessa V3-verkossa 18. toukokuuta 2026 .
Mutta todellinen perintö on hallintovastaus. Consensus Miami 2026 -tapahtumassa Aave Labsin lakiasiain- ja toimintapolitiikkajohtaja Linda Jeng ilmoitti perusteellisesta uudistuksesta protokollan omaisuuserien listaamisen ja vakuuksien arvioinnin standardeihin . Uusi viitekehys laajenee perinteisten taloudellisten riskimittareiden ulkopuolelle sisältämään:
Kyberturvallisuuden haavoittuvuudet ja operatiivisen turvallisuuden tilan
Siltainfrastruktuurin riippuvuudet ja yhden varmentajan riskit
Oraakkeliriippuvuudet ja kolmannen osapuolen sopimusriskit
Säilytysjärjestelyt ja yhteentoimivuusriskit koostettavissa protokollissa
Aave on jo säätänyt 295 riskiparametria ja lisännyt automatisoituja puolustuksia, jotka voivat laskea omaisuuserän lainan ja vakuuden arvon suhteen nollaan, kun ennalta määritellyt riskirajat ylittyvät . Protokolla käynnistää jokaisen V3:een listatun omaisuuserän täyden tarkastelun ja kirjoittaa listausstandardinsa alusta alkaen uusiksi .
Suurempi kuva: silloista on tullut DeFin ensisijainen hyökkäyspinta
Kelp DAO ei tapahtunut tyhjiössä. Se oli toinen yhdeksännumeroinen siltahyökkäys 18 päivän sisällä, edeltäen Drift Protokollan 285 miljoonan dollarin sosiaalisesti manipuloitua murtoa 1. huhtikuuta – myös Lazarus-ryhmän tekemä . Yhdessä nämä kaksi iskua työnsivät alkuvuoden 2026 DeFi-tappiot yli 840 miljoonaan dollariin .
Järjestelmätason seuraukset olivat suuremmat kuin suora varkaus. 48 tunnin kuluessa Kelp DAO:n ryöstöstä DeFi-markkinoilta katosi 13,21 miljardin dollarin edestä sidottua kokonaisarvoa (Total Value Locked, TVL), ja Aave yksin menetti 43 prosenttia TVL:stään 26 seuratussa protokollassa . 5,4 miljardin dollarin nostopaniikki pyyhkäisi ekosysteemin läpi .
Hyökkäys paljasti sen, mitä Chainalysis kutsui kriittiseksi rakenteelliseksi sokeaksi pisteeksi: DeFin turvallisuus oli keskittynyt ylivoimaisesti älysopimusauditointeihin, kun taas siltainfrastruktuuri, solmujen operatiivinen turvallisuus ja yhden varmentajan konfiguraatiot olivat pysyneet pitkälti tutkimattomina riskivektoreina .
Korjaus on jo käynnissä. Protokollat siirtyvät usean varmentajan siltakonfiguraatioihin. Aaven uusi listauskäsikirja – jonka odotetaan julkaistavan virallisena oppaana omaisuuserien liikkeeseenlaskijoille – tulee vaatimaan projekteilta silta-arkkitehtuurin, varmentajien hajautuksen ja solmuturvallisuuskäytäntöjen julkistamista, ennen kuin rsETH:n kaltaisia johdannaisia voidaan hyväksyä vakuudeksi .
Lazarus käytti hyväkseen aukkoa sen välillä, mitä DeFi auditoi, ja mistä DeFi todella oli riippuvainen. Alan vastaus viittaa siihen, että tuo aukko on vihdoin sulkeutumassa – mutta vasta 293 miljoonan dollarin oppitunnin jälkeen.
blockhead.co
Kelp DAO Loses $292M in Largest DeFi Exploit of 2026, LayerZero ...
Comments
0 comments