Pembedahan Eksploitasi Kelp DAO $293M: Bagaimana Lazarus Lumpuhkan DeFi Tanpa Sentuh Satu Kontrak Pintar Pun
Pada 18 April 2026, Kumpulan Lazarus Korea Utara mencuri $293 juta dari Kelp DAO dengan menipu jambatan LayerZero nya untuk mencipta 116,500 rsETH tanpa sandaran — satu serangan infrastruktur luar rantaian, bukan pepi... Kerosakan bertimpa timpa melanda Aave dengan kerugian hutang lapuk $230 juta daripada cagaran rs...
What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited oThe Kelp DAO exploit wasn't a smart contract bug—it was an attack on off-chain bridge infrastructure that no one had audited.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited o. Article summary: On April 18, 2026, North Korea's Lazarus Group executed the largest DeFi exploit of the year, draining ~$293 million (116,500 rsETH) from Kelp DAO's cross-chain bridge by attacking off-chain LayerZero infrastructure — no. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Kelp DAO exploit,DeFi security 2026,cross-chain bridge risks,crypto hack analysis,LayerZero vulnerability,institutional crypto adoption. # Kelp DAO Exploit: How a $293 Million DeFi" source context "Kelp DAO Exploit: $293M DeFi Hack Exposes Critical Security Risks ..." Reference image 2: visual subject "# The $290
openai.com
Pada 18 April 2026, jam 17:35 UTC, seorang penyerang memanggil satu fungsi pada jambatan rentas rantai Kelp DAO yang dikuasakan oleh LayerZero dan melarikan diri dengan 116,500 rsETH — kira-kira $293 juta dan 18% daripada keseluruhan bekalan edaran token tersebut. Ia hanya mengambil masa 46 minit. Penyerang itu tidak mengeksploitasi pepijat kontrak pintar. Mereka menyerang infrastruktur yang tiada siapa terfikir untuk diaudit.
Pencerobohan ini, yang dikaitkan dengan Kumpulan Lazarus Korea Utara, adalah eksploitasi DeFi terbesar pada tahun 2026, mengatasi godaman Drift Protocol bernilai $285 juta pada 1 April — juga kerja Lazarus, yang dicapai melalui enam bulan kejuruteraan sosial . Bersama-sama, kedua-dua insiden ini menjadikan jumlah kripto yang dicuri oleh Korea Utara melebihi $578 juta dalam masa 18 hari, menyumbang 76% daripada keseluruhan nilai godaman pada 2026 setakat itu .
Tetapi serangan Kelp DAO adalah berbeza. Ia bukan kelemahan peringkat kod. Ia adalah kegagalan struktur dalam cara DeFi mempercayai mesej rentas rantai — dan kesannya mendedahkan satu titik buta yang kini sedang diusahakan oleh seluruh industri untuk diperbaiki.
Bagaimana eksploitasi sebenarnya berfungsi: pengesah 1-dari-1 dan mesej palsu
Kelp DAO ialah protokol liquid restaking yang mengeluarkan rsETH merentasi lebih 20 rangkaian blok rantai melalui jambatan Token Fungible Omnichain (OFT) LayerZero . Apabila pengguna memindahkan rsETH kembali ke rangkaian utama Ethereum, lapisan pemesejan LayerZero menghantar arahan rentas rantai yang memberitahu kontrak jambatan rangkaian utama untuk melepaskan token daripada eskrow.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "Pembedahan Eksploitasi Kelp DAO $293M: Bagaimana Lazarus Lumpuhkan DeFi Tanpa Sentuh Satu Kontrak Pintar Pun"?
Pada 18 April 2026, Kumpulan Lazarus Korea Utara mencuri $293 juta dari Kelp DAO dengan menipu jambatan LayerZero nya untuk mencipta 116,500 rsETH tanpa sandaran — satu serangan infrastruktur luar rantaian, bukan pepi...
What are the key points to validate first?
Pada 18 April 2026, Kumpulan Lazarus Korea Utara mencuri $293 juta dari Kelp DAO dengan menipu jambatan LayerZero nya untuk mencipta 116,500 rsETH tanpa sandaran — satu serangan infrastruktur luar rantaian, bukan pepi... Kerosakan bertimpa timpa melanda Aave dengan kerugian hutang lapuk $230 juta daripada cagaran rsETH palsu, memaksa Majlis Keselamatan Arbitrum membekukan $71 juta, dan mencetuskan panik kecairan seluruh DeFi bernilai...
What should I do next in practice?
Pengajaran strukturnya: Audit keselamatan DeFi terlalu fokus pada kontrak pintar tetapi mengabaikan konfigurasi pengesah jambatan, keselamatan operasi nod, dan lapisan pemesejan luar rantaian — itulah kelemahan yang d...
Keselamatan pelepasan itu bergantung pada Rangkaian Pengesah Terdesentralisasi (DVN) — nod luar rantaian yang mengesahkan bahawa mesej adalah sah. Kelp DAO mengkonfigurasi jambatannya dengan ambang DVN 1-dari-1, bermakna satu pengesah tunggal sudah cukup untuk membenarkan sebarang mesej rentas rantai .
Penyerang menjejaskan nod RPC dalaman Kelp dan menjalankan serangan DDoS terhadap nod luaran, menyebabkan hanya pengesah tunggal itu yang tinggal beroperasi dan memberikannya mesej palsu yang mendakwa 116,500 rsETH telah 'dibakar' pada rantai sumber. Pengesah mengakui mesej itu. Kontrak Ethereum mematuhinya. Dana dilepaskan ke alamat yang dikawal oleh penyerang .
Chainalysis mengesahkan bahawa setiap transaksi dalam rantaian kelihatan sah kepada alat keselamatan standard, kerana pelanggaran itu berlaku sepenuhnya di luar rantaian pada peringkat infrastruktur dan nod . Audit kontrak pintar tradisional adalah tidak relevan.
Multisig kecemasan Kelp menjeda kontrak 46 minit selepas pengaliran awal, menghalang kira-kira $200 juta tambahan dalam serangan susulan .
Pengubahan wang haram: bagaimana $220 juta hilang dalam masa enam minggu
Penyerang tidak menyorok token yang dicuri. Dalam masa beberapa jam, 89,567 daripada 116,500 rsETH tanpa sandaran telah didepositkan ke dalam Aave V3 sebagai cagaran, dan penyerang meminjam kira-kira 82,650 WETH dan 821 wstETH — aset bersih dan cair — sebelum sesiapa boleh membekukan posisi tersebut . Peminjaman bercagaran serupa berlaku di Compound dan Euler, mengeluarkan kira-kira 74,000 ETH bersih keseluruhannya .
Kemudian pengubahan wang haram bermula dengan sungguh-sungguh.
Dalam tempoh enam minggu berikutnya, penyerang telah mencuci hampir semua dana yang tidak dibekukan — kira-kira $220 juta — hanya meninggalkan kira-kira $1.7 juta yang boleh dikesan dalam dompet penyerang asal sehingga 1 Jun 2026 . Rantaian pengubahan wang itu mengikut corak dua peringkat yang disengajakan:
Peringkat pertama: Tornado Cash digunakan untuk memutuskan pautan awal dalam rantaian dan mengaburkan graf transaksi .
Peringkat kedua: Dana disalurkan melalui Wasabi Wallet untuk pencampuran Bitcoin gaya CoinJoin, kemudian dihubungkan semula ke Ethereum melalui protokol rentas rantai — terutamanya THORChain, yang memproses kira-kira $80 juta dalam pertukaran ETH-ke-Bitcoin dalam satu tetingkap 24 jam, mendorong jumlah pertukaran THORChain kepada $394 juta, kira-kira 11 kali ganda purata hariannya .
TRM Labs kemudian mengesahkan bahawa THORChain beroperasi sebagai jambatan pilihan yang konsisten merentasi rompakan terbesar Korea Utara, tanpa pengendali yang sanggup membekukan atau menolak pemindahan semasa pelanggaran Bybit 2025 mahupun eksploitasi KelpDAO .
NS3.AI juga membenderakan satu perincian baru: penyerang menggunakan LayerZero sendiri untuk memindahkan sekurang-kurangnya $500,000 dana yang dicuri merentasi rantai semasa fasa pengubahan wang — menandakan contoh pertama yang direkodkan di mana aplikasi yang sama dieksploitasi untuk kedua-dua kecurian dan sebahagian daripada pengubahan wang haram .
Pembekuan Majlis Keselamatan Arbitrum: $71 juta disekat di pertengahan jalan
Tidak semua dana terlepas. Pada 20 April 2026, jam 11:26 malam ET (waktu tempatan AS), Majlis Keselamatan Arbitrum melaksanakan tindakan kecemasan untuk membekukan 30,766 ETH — kira-kira $71 juta, atau sekitar satu perempat daripada jumlah yang dicuri — yang dipegang dalam alamat yang dikawal oleh penyerang di Arbitrum One .
Majlis bertindak dengan input daripada penguatkuasa undang-undang dan memindahkan dana ke dompet perantara yang dikawal oleh tadbir urus. Sembilan daripada 12 ahli majlis mengundi menyokong pembekuan itu . Dana tersebut hanya boleh dikeluarkan melalui undian tadbir urus rasmi Arbitrum .
Pada 8 Mei 2026, Majlis Keselamatan Arbitrum meluluskan cadangan bersama untuk membuka beku dana tersebut, bertujuan untuk mempercepat pemulihan cagaran rsETH dan memulihkan kecairan bagi pengguna yang terjejas. Proses pemulihan masih berterusan dengan penglibatan penguatkuasa undang-undang .
'Panggilan kejut' $230 juta Aave dan baik pulih rangka kerja risiko
Aave menanggung kerosakan peringkat kedua yang paling teruk. Penyerang mendepositkan 89,567 rsETH palsu ke dalam Aave V3 dan meminjam kira-kira $230 juta dalam aset bersih — pinjaman yang menjadi hutang lapuk tidak dapat dipulihkan sebaik sahaja rsETH didedahkan sebagai tidak bersandaran .
Penjaga Protokol Aave membekukan rizab rsETH dan wrsETH merentasi semua penempatan V3 pada kira-kira 19:00 UTC pada 18 April, menetapkan nisbah pinjaman-kepada-nilai (LTV) kepada sifar merentasi 11 pasaran terjejas termasuk Ethereum, Arbitrum, Avalanche, dan Optimism . Peminjaman WETH — satu teras penting dalam sistem kewangan DeFi — secara efektifnya dibekukan merentasi enam rangkaian.
Sehingga pertengahan Mei 2026, lebih 95% daripada token tanpa sandaran telah dipulihkan, dengan baki kekurangan dijangka ditanggung oleh perbendaharaan Aave DAO dan gabungan DeFi United . Aave memulihkan had pinjaman wETH biasa merentasi enam rangkaian V3 pada 18 Mei 2026 .
Tetapi legasi sebenar adalah tindak balas tadbir urus. Di Consensus Miami 2026, Ketua Pegawai Undang-undang dan Dasar Aave Labs, Linda Jeng, mengumumkan baik pulih asas terhadap standard penilaian cagaran dan penyenaraian aset protokol . Rangka kerja baru ini berkembang melangkaui metrik risiko kewangan tradisional untuk merangkumi:
Kelemahan keselamatan siber dan postur keselamatan operasi
Kebergantungan infrastruktur jambatan dan risiko pengesah tunggal
Kebergantungan oracle dan pendedahan kontrak pihak ketiga
Pengaturan kustodian dan risiko saling kendali merentasi protokol komposabel
Aave telah pun menyesuaikan 295 parameter risiko dan menambah pertahanan automatik yang boleh mengurangkan nisbah pinjaman-kepada-nilai aset kepada sifar apabila ambang risiko yang telah ditetapkan dicetuskan . Protokol ini sedang melancarkan semakan penuh terhadap setiap aset yang disenaraikan di V3 dan menulis semula standard penyenaraiannya dari asas .
Gambaran lebih besar: jambatan kini merupakan permukaan serangan utama DeFi
Kelp DAO tidak berlaku secara terpencil. Ia adalah eksploitasi jambatan kedua bernilai sembilan angka dalam masa 18 hari, berikutan pelanggaran kejuruteraan sosial Drift Protocol bernilai $285 juta pada 1 April — juga dikaitkan dengan Kumpulan Lazarus . Digabungkan, kedua-dua insiden itu mendorong kerugian DeFi awal 2026 melepasi $840 juta .
Kesan sistemiknya jauh mengatasi kecurian langsung. Dalam tempoh 48 jam selepas eksploitasi Kelp DAO, $13.21 bilion dalam jumlah nilai terkunci (TVL) lenyap merentasi DeFi, dengan Aave sahaja kehilangan 43% daripada TVLnya merentasi 26 protokol yang dijejak . Satu panik pengeluaran $5.4 bilion melanda ekosistem .
Serangan itu mendedahkan apa yang Chainalysis gelar sebagai titik buta struktur yang kritikal: keselamatan DeFi terlalu tertumpu pada audit kontrak pintar manakala infrastruktur jambatan, keselamatan operasi nod, dan konfigurasi pengesah tunggal kekal sebagai vektor risiko yang tidak diperiksa .
Pembaikannya sudah pun dijalankan. Protokol sedang berhijrah ke konfigurasi jambatan pelbagai pengesah. Buku panduan penyenaraian baru Aave — dijangka diterbitkan sebagai playbook rasmi untuk penerbit aset — akan memerlukan projek untuk mendedahkan seni bina jambatan, desentralisasi pengesah, dan amalan keselamatan nod sebelum derivatif seperti rsETH boleh diterima sebagai cagaran .
Lazarus mengeksploitasi jurang antara apa yang diaudit oleh DeFi dan apa yang sebenarnya diharapkan oleh DeFi. Tindak balas industri menunjukkan jurang itu akhirnya sedang ditutup — tetapi hanya selepas satu pengajaran bernilai $293 juta.
Comments
0 comments