Atak na Kelp DAO: Jak Lazarus złamał DeFi za 293 mln USD, nie dotykając smart kontraktu
18 kwietnia 2026 roku północnokoreańska grupa Lazarus ukradła 293 mln USD z Kelp DAO, oszukując most LayerZero i tworząc 116 500 fałszywych tokenów rsETH – był to atak na infrastrukturę off chain, a nie błąd w kodzie... Efekt domina uderzył w Aave (230 mln USD nieściągalnego długu z fałszywego zabezpieczenia rsETH),...
What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited oThe Kelp DAO exploit wasn't a smart contract bug—it was an attack on off-chain bridge infrastructure that no one had audited.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited o. Article summary: On April 18, 2026, North Korea's Lazarus Group executed the largest DeFi exploit of the year, draining ~$293 million (116,500 rsETH) from Kelp DAO's cross-chain bridge by attacking off-chain LayerZero infrastructure — no. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Kelp DAO exploit,DeFi security 2026,cross-chain bridge risks,crypto hack analysis,LayerZero vulnerability,institutional crypto adoption. # Kelp DAO Exploit: How a $293 Million DeFi" source context "Kelp DAO Exploit: $293M DeFi Hack Exposes Critical Security Risks ..." Reference image 2: visual subject "# The $290
openai.com
18 kwietnia 2026 roku o 17:35 UTC atakujący wywołał pojedynczą funkcję na moście cross-chain Kelp DAO opartym na LayerZero i odszedł z 116 500 rsETH – równowartością około 293 milionów dolarów i 18% całej podaży tokena w obiegu. Zajęło mu to 46 minut. Nie wykorzystał błędu w smart kontrakcie. Za cel wziął infrastrukturę, której nikomu nie przyszło do głowy poddać audytowi .
Atak, przypisywany północnokoreańskiej grupie Lazarus, jest największym włamaniem do DeFi w 2026 roku – przebił nawet kwietniowy atak na Drift Protocol (285 mln USD), również dzieło Lazara, dokonane po sześciu miesiącach socjotechniki . Łącznie te dwa incydenty w 18 dni wyniosły sumę skradzioną przez Koreę Północną do ponad 578 mln USD, co stanowiło wówczas 76% wartości wszystkich kradzieży krypto w 2026 roku .
Ale atak na Kelp DAO był inny. To nie był problem z kodem. To była porażka strukturalna w tym, jak DeFi ufa wiadomościom cross-chain – a konsekwencje obnażyły martwe pole, które teraz cała branża próbuje gorączkowo załatać.
Jak naprawdę działał atak: jeden weryfikator, jedna fałszywa wiadomość
Kelp DAO to protokół płynnego restakingu, który emituje rsETH w ponad 20 sieciach blockchain za pomocą mostu LayerZero Omnichain Fungible Token . Kiedy użytkownik przenosi rsETH z powrotem do głównej sieci Ethereum, warstwa komunikacyjna LayerZero dostarcza instrukcję cross-chain, która mówi kontraktowi mostu na mainnecie, by uwolnił tokeny z depozytu.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "Atak na Kelp DAO: Jak Lazarus złamał DeFi za 293 mln USD, nie dotykając smart kontraktu"?
18 kwietnia 2026 roku północnokoreańska grupa Lazarus ukradła 293 mln USD z Kelp DAO, oszukując most LayerZero i tworząc 116 500 fałszywych tokenów rsETH – był to atak na infrastrukturę off chain, a nie błąd w kodzie...
What are the key points to validate first?
18 kwietnia 2026 roku północnokoreańska grupa Lazarus ukradła 293 mln USD z Kelp DAO, oszukując most LayerZero i tworząc 116 500 fałszywych tokenów rsETH – był to atak na infrastrukturę off chain, a nie błąd w kodzie... Efekt domina uderzył w Aave (230 mln USD nieściągalnego długu z fałszywego zabezpieczenia rsETH), zmusił Arbitrum Security Council do zamrożenia 71 mln USD i wywołał panikę w całym DeFi, która zniszczyła 13 mld USD wa...
What should I do next in practice?
Lekcja strukturalna: audyty smart kontraktów ignorowały konfiguracje weryfikatorów mostów, bezpieczeństwo operacyjne węzłów i warstwy przesyłania wiadomości off chain – dokładnie te luki wykorzystał Lazarus.
Bezpieczeństwo tego uwolnienia zależy od Zdecentralizowanych Sieci Weryfikatorów (DVN) – węzłów off-chain, które poświadczają, że wiadomość jest prawidłowa. Kelp DAO skonfigurowało swój most z progiem 1-z-1 DVN, co oznaczało, że wystarczył jeden weryfikator, by autoryzować dowolną wiadomość cross-chain .
Atakujący przejął kontrolę nad wewnętrznymi węzłami RPC Kelp i przeprowadził atak DDoS na zewnętrzne węzły. Pozostawił aktywny tylko ten jeden weryfikator i podał mu sfałszowaną wiadomość, która głosiła, że 116 500 rsETH zostało spalonych w sieci źródłowej. Weryfikator poświadczył wiadomość. Kontrakt na Ethereum posłusznie ją wykonał. Środki trafiły na adres kontrolowany przez atakującego .
Chainalysis potwierdziło, że każda transakcja on-chain wyglądała na legalną dla standardowych narzędzi bezpieczeństwa, bo włamanie odbyło się całkowicie poza łańcuchem – na poziomie infrastruktury i węzłów . Tradycyjne audyty smart kontraktów nie miały tu nic do rzeczy.
Awaryjny portfel multisig Kelp wstrzymał kontrakty 46 minut po początkowym wypływie, zapobiegając kolejnym atakom wartym około 200 mln USD .
Pranie brudnych pieniędzy: jak 220 mln USD zniknęło w sześć tygodni
Atakujący nie zamierzał trzymać skradzionych tokenów. Już w ciągu kilku godzin 89 567 z 116 500 „pustych” rsETH zostało zdeponowanych jako zabezpieczenie w Aave V3, a atakujący pożyczył około 82 650 WETH i 821 wstETH – czystych, płynnych aktywów – zanim ktokolwiek zdążył zamrozić pozycje . Podobne pożyczki pod zastaw miały miejsce na Compound i Euler, co dało łącznie około 74 000 czystego ETH .
Potem pranie ruszyło na dobre.
W ciągu następnych sześciu tygodni atakujący wyprał prawie wszystkie niezamrożone skradzione środki – około 220 mln USD – pozostawiając zaledwie około 1,7 mln USD możliwych do namierzenia w oryginalnych portfelach, stan na 1 czerwca 2026 roku . Proces prania przebiegał w dwóch etapach:
Etap pierwszy: Tornado Cash posłużyło do zerwania początkowych powiązań on-chain i zaciemnienia grafu transakcji .
Etap drugi: Środki przepuszczono przez Wasabi Wallet w celu miksowania w stylu CoinJoin na Bitcoinie, a następnie przeniesiono z powrotem na Ethereum poprzez protokoły cross-chain – głównie THORChain, który przetworzył około 80 mln USD w swapach ETH-na-Bitcoin w ciągu jednej doby, windowując wolumen THORChain do 394 mln USD, około 11 razy więcej niż średnia dzienna .
TRM Labs potwierdziło później, że THORChain był niezmiennie wybieranym mostem we wszystkich największych napadach Korei Północnej – żaden operator nie zgodził się zamrozić ani odrzucić transferów, zarówno podczas włamania na Bybit w 2025 roku, jak i exploita KelpDAO .
NS3.AI zwróciło także uwagę na nowy, niepokojący szczegół: atakujący wykorzystali sam LayerZero do przeniesienia co najmniej 500 000 USD skradzionych funduszy między łańcuchami – pierwszy odnotowany przypadek, gdy ta sama aplikacja posłużyła zarówno do kradzieży, jak i częściowego prania pieniędzy .
Zamrożenie przez Arbitrum Security Council: 71 mln USD złapane w pół kroku
Nie wszystkie środki zdołały uciec. 20 kwietnia 2026 roku o 23:26 czasu wschodniego Arbitrum Security Council wykonało awaryjną akcję, zamrażając 30 766 ETH – około 71 mln USD, czyli mniej więcej jedną czwartą całkowitej skradzionej kwoty – zdeponowanych na arbitralnie kontrolowanym adresie w Arbitrum One .
Rada działała na podstawie informacji od organów ścigania i przeniosła środki do portfela pośredniego kontrolowanego przez zarządzanie. Dziewięciu z dwunastu członków rady zagłosowało za zamrożeniem . Fundusze mogą zostać uwolnione tylko w drodze formalnego głosowania Arbitrum Governance .
8 maja 2026 roku Arbitrum Security Council zatwierdziło wspólną propozycję odmrożenia tych środków, aby przyspieszyć odzyskiwanie zabezpieczenia rsETH i przywrócić płynność poszkodowanym użytkownikom. Proces odzyskiwania trwa i jest prowadzony przy udziale organów ścigania .
Sygnał alarmowy dla Aave: 230 mln USD strat i całkowita przebudowa ram ryzyka
Aave poniosło najpoważniejsze szkody wtórne. Atakujący zdeponował 89 567 fałszywych rsETH w Aave V3 i pożyczył około 230 mln USD w czystych aktywach – pożyczki, które stały się nieściągalnym długiem, gdy tylko okazało się, że rsETH nie ma pokrycia .
Opiekun Protokołu Aave zamroził rezerwy rsETH i wrsETH we wszystkich wdrożeniach V3 około godziny 19:00 UTC 18 kwietnia, ustawiając współczynnik LTV (Loan-to-Value) na zero na 11 zagrożonych rynkach, w tym Ethereum, Arbitrum, Avalanche i Optimism . Pożyczanie WETH – kluczowego elementu infrastruktury finansowej DeFi – zostało praktycznie zamrożone w sześciu sieciach.
Według stanu na połowę maja 2026 roku ponad 95% fałszywych tokenów zostało odzyskanych, a pozostały niedobór ma zostać pokryty przez skarbiec Aave DAO i koalicję DeFi United . Aave przywróciło normalne limity pożyczek WETH w sześciu sieciach V3 18 maja 2026 roku .
Jednak prawdziwym dziedzictwem jest odpowiedź na poziomie zarządzania. Na Consensus Miami 2026 Linda Jeng, Chief Legal and Policy Officer Aave Labs, ogłosiła fundamentalną przebudowę standardów notowań aktywów i oceny zabezpieczeń w protokole . Nowe ramy wykraczają poza tradycyjne wskaźniki ryzyka finansowego i obejmują:
Podatności cyberbezpieczeństwa i poziom bezpieczeństwa operacyjnego
Zależności od infrastruktury mostów i ryzyko pojedynczego weryfikatora
Zależności od wyroczni (oracles) i ekspozycję na kontrakty stron trzecich
Ustalenia depozytowe i ryzyka interoperacyjności między protokołami
Aave już dostosowało 295 parametrów ryzyka i dodało automatyczne zabezpieczenia, które mogą obniżyć LTV aktywa do zera, gdy zostaną przekroczone wstępnie zdefiniowane progi . Protokół rozpoczyna pełny przegląd każdego aktywa notowanego na V3 i na nowo pisze swoje standardy listingowe od podstaw .
Szerszy obraz: mosty stały się głównym celem ataków w DeFi
Kelp DAO nie był odosobnionym przypadkiem. To był drugi dziewięciocyfrowy exploit mostu w ciągu 18 dni, po włamaniu do Drift Protocol na 285 mln USD (1 kwietnia), dokonanym metodą socjotechniczną – również dzieło grupy Lazarus . Łącznie te dwa incydenty wywindowały straty DeFi na początku 2026 roku do ponad 840 mln USD .
Skutki systemowe przyćmiły bezpośrednią kradzież. W ciągu 48 godzin od ataku na Kelp DAO, 13,21 mld USD całkowitej wartości zamkniętej (TVL) wyparowało z DeFi, a samo Aave straciło 43% swojego TVL wśród 26 śledzonych protokołów . Panika wycofania 5,4 mld USD przetoczyła się przez ekosystem .
Atak obnażył, jak to nazwało Chainalysis, krytyczne strukturalne martwe pole: bezpieczeństwo DeFi koncentrowało się przytłaczająco na audytach smart kontraktów, podczas gdy infrastruktura mostów, bezpieczeństwo operacyjne węzłów i konfiguracje z pojedynczym weryfikatorem pozostawały w dużej mierze niezbadanymi wektorami ryzyka .
Naprawa już trwa. Protokoły migrują na konfiguracje mostów z wieloma weryfikatorami. Nowy podręcznik listingowy Aave – który ma zostać formalnym przewodnikiem dla emitentów aktywów – będzie wymagał od projektów ujawniania architektury mostów, decentralizacji weryfikatorów i praktyk bezpieczeństwa węzłów, zanim pochodne podobne do rsETH będą mogły zostać przyjęte jako zabezpieczenie .
Lazarus wykorzystał rozbieżność między tym, co DeFi kontrolowało, a tym, od czego DeFi naprawdę zależało. Odpowiedź branży sugeruje, że ta luka wreszcie się zamyka – ale dopiero po lekcji wartej 293 miliony dolarów.
blockhead.co
Kelp DAO Loses $292M in Largest DeFi Exploit of 2026, LayerZero ...
Comments
0 comments