10 milliarder dollar strømmet ut av DeFi etter 292 millioners hack

Et massivt sikkerhetsbrudd i desentralisert finans (DeFi) har rystet kryptomarkedet denne helgen. En hacker utnyttet en sårbarhet i KelpDAO og stjal tokens tilsvarende 292 millioner dollar, noe som utløste en bred tilbaketrekning og tap på over 10 milliarder dollar fra hele DeFi-sektoren.

Angrepet begynte sent lørdag da en ukjent aktør tømte rundt 116 500 rsETH fra KelpDAOs krysskjedebro. Verdien av de stjålne tokenene var på det tidspunktet estimert til 292 millioner dollar ifølge data fra CryptoSlate.

Hvordan ble KelpDAO hacket?

KelpDAO tilbyr rsETH til brukere som setter inn ETH i sitt liquid restaking-system. Plattformen distribuerer deretter ETH gjennom EigenLayer for å generere ekstra avkastning utover standard staking-inntekter. Hackeren utnyttet en svakhet i LayerZero, en krysskjede-meldingsprotokoll som flytter instruksjoner og eiendeler mellom blokkjeder.

Ifølge Banteg, kjerneutvikler i Yearn Finance, ble angrepet rettet mot ruten mellom Unichain og Ethereum-mainnettet. Hackeren sendte en falsk melding som systemet aksepterte som gyldig, noe som førte til at Ethereum-sideadapteren frigjorde forhåndsfinansierte rsETH-reserver. Denne ruten var konfigurert som en én-til-én-desentralisert verifiseringsvei uten sekundære verifiserere som kunne ha oppdaget transaksjonen.

Den skadelige transaksjonen, identifisert som nonce 308, ble verifisert og gjennomført klokken 17:35 UTC. Etter angrepet frøs KelpDAOs nødmultisignatur-lommebok protokollens kjernekontrakter, noe som blokkerte ytterligere to forsøk på å fjerne ytterligere 100 millioner dollar i rsETH.

Markedsreaksjoner og etterspill

De stjålne midlene ble først flyttet gjennom Tornado Cash for å skjule sporene, før protokollens respons kunne begrense skadene. Imidlertid sirkulerte de reserverte rsETH-ene videre på sekundære nettverk som Base, Arbitrum, Linea, Blast, Mantle og Scroll. Da disse reservene ble tømt, oppstod det usikkerhet blant brukere som holdt rsETH utenfor Ethereum, spesielt knyttet til innløsning og sikkerhet.

Presset spredte seg raskt til resten av markedet, og den største krypto-låneplattformen, Aave, ble hardest rammet. Ifølge rapporter skal hackeren ha deponert de stjålne rsETH-ene som sikkerhet i Aave. Under angrepsvinduet fortsatte Aaves prissettingsorakler å vise rsETH nær sin normale verdi, noe som førte til at protokollen utstedte 106 467 ETH mot det kompromitterte sikkerhetsstilleet. Dette resulterte i en potensiell tapsrisiko på 236 millioner dollar og utløste en massiv utvandring av brukere.

Data fra DeFiLlama viser at Aaves totale innestående (TVL) falt fra over 26 milliarder dollar til om lag 20 milliarder dollar da brukere trakk midler. Analytikere påpeker at store ETH-innehavere akselererte tilbaketrekningen.

Konsekvenser for DeFi-markedet

Angrepet på KelpDAO er det største DeFi-hacket i 2026 så langt, og overgår tidligere angrep i år. Hacket har ikke bare ført til store økonomiske tap, men også svekket tilliten til krysskjedeprotokoller og sikkerheten i desentraliserte finanssystemer.

Eksperter advarer om at slike hendelser kan føre til strengere reguleringer og økt fokus på sikkerhetstiltak i fremtiden. Samtidig understreker de viktigheten av åpenhet og rask respons for å begrense skader når slike hendelser inntreffer.

«Dette viser hvor sårbare krysskjedeprotokoller fortsatt er. Selv små svakheter kan føre til massive konsekvenser når de utnyttes på riktig måte,» sier en anonym DeFi-analytiker.