Hakerzy z Korei Północnej wykradają 290 mln dolarów z DeFi – Aave traci miliardy

Atak na Kelp DAO i jego konsekwencje dla DeFi

Sektor finansów zdecentralizowanych (DeFi) doświadcza poważnego kryzysu po ataku hakerskim, który według podejrzeń przeprowadziła grupa Lazarus powiązana z reżimem Korei Północnej. W sobotę, 18 kwietnia 2026 roku, napastnicy wykradli token rsETH o wartości 290 milionów dolarów z Kelp DAO, wykorzystując most Layer Zero do transferu między łańcuchami bloków.

Złodzieje zdeponowali skradzione rsETH w protokole Aave, aby uzyskać pożyczkę w wysokości 236 milionów dolarów w WETH. Gwałtowny wzrost aktywności spowodował panikę wśród użytkowników, którzy masowo wycofywali swoje zabezpieczenia i zaciągali pożyczki, co doprowadziło do wycofania prawie 9 miliardów dolarów z Aave. Protokół może stanąć przed koniecznością pokrycia setek milionów dolarów strat z tytułu niespłaconych długów.

Mechanizm ataku i rola Layer Zero

Według oświadczenia Layer Zero, atak został przeprowadzony przy użyciu zaawansowanej metody polegającej na podszywaniu się pod zdalne wywołania procedur (RPC-spoofing). Napastnicy wprowadzili fałszywe dane tylko do jednego zweryfikowanego węzła (DVN), omijając systemy monitorowania. Dodatkowo przeprowadzili atak DDoS na niezaatakowane węzły, aby wymusić przełączenie na „zatrute” węzły.

Ekspert ds. DeFi, banteg, zakwestionował oficjalną wersję Layer Zero, twierdząc, że atak był bardziej złożony i polegał na infiltracji wewnętrznej infrastruktury. Jego zdaniem, „prawdziwa historia to celowe wprowadzenie szkodliwego oprogramowania w obrębie zaufanego systemu”, co unieważnia argumenty o czysto zewnętrznym ataku.

Reakcja Kelp DAO i brak przejrzystości

Kelp DAO, emitent rsETH, ograniczyło się do krótkiego oświadczenia na platformie X (dawniej Twitter), nie podając szczegółów ani dalszych informacji. Firma poinformowała jedynie o wstrzymaniu kontraktów rsETH na głównych sieciach i kilku warstwach L2 w celu przeprowadzenia dochodzenia. Do współpracy zaproszono Layer Zero, Unichain oraz audytorów bezpieczeństwa, jednak brak jest jakichkolwiek aktualizacji od kilku dni.

„Zidentyfikowaliśmy podejrzaną aktywność międzyłańcuchową dotyczącą rsETH. Wstrzymaliśmy kontrakty rsETH na mainnet i kilku L2 w celu przeprowadzenia dochodzenia. Współpracujemy z @LayerZero_Core, @unichain, naszymi audytorami oraz ekspertami ds. bezpieczeństwa w celu ustalenia przyczyn incydentu. Aktualizacje będą publikowane na bieżąco.”

Skutki dla Aave i całego sektora DeFi

Głównym celem napastników było nie sprzedanie skradzionych tokenów, lecz wykorzystanie ich jako zabezpieczenia do zaciągania pożyczek. Według firmy audytorskiej PeckShield, złodzieje zdeponowali rsETH w kilku protokolach pożyczkowych, w tym Aave V3, Compound V3 i Euler, uzyskując łącznie 236 milionów dolarów w WETH.

Masowe wycofywanie środków z Aave doprowadziło do gwałtownego spadku całkowitej wartości zablokowanej (TVL) o ponad 30%. Użytkownicy, obawiając się dalszych strat, masowo wycofywali swoje depozyty, co spowodowało zamrożenie płynności i uniemożliwiło normalne funkcjonowanie protokołu. Obecnie trwa dyskusja, kto poniesie koszty strat – czy to użytkownicy, deweloperzy, czy ubezpieczyciele.

Pytania bez odpowiedzi i przyszłość DeFi

Pomimo upływu czasu od ataku, nadal brak jest jasnych informacji na temat jego przebiegu oraz odpowiedzialnych za niego podmiotów. Eksperci ostrzegają, że powrót zaufania do mostów międzyłańcuchowych i protokołów pożyczkowych może zająć miesiące, a niektóre z nich mogą nigdy nie odzyskać pełnej płynności.

Atak ten unaocznił słabości infrastruktury DeFi, zwłaszcza w zakresie zabezpieczeń mostów międzyłańcuchowych. W obliczu rosnącej liczby ataków hakerskich, pytanie o przyszłość zdecentralizowanych finansów pozostaje otwarte. Czy branża zdoła wprowadzić skuteczniejsze mechanizmy ochrony, czy też czekają ją kolejne kryzysy?