Hackeři ukradli 292 milionů dolarů z protokolu Kelp: jak to ovlivnilo trh a co dál
V sobotu 18. dubna 2026 neznámí útočníci vyvedli téměř 300 milionů dolarů z jednoho z největších kryptoprotokolů — Kelp. To není jen číslo v zprávě: stovky tisíc uživatelů mohly ztratit své prostředky a decentralizované půjčovní platformy se ocitly pod hrozbou masových nesplacení. Takové události ukazují, jak křehká může být i „bezpečná“ část kryptoinfrastruktury.
Co je Kelp a proč je to důležité?
Kelp je protokol pro likvidní restaking, který umožňuje uživatelům vydělávat úroky na svých etherech (ETH), aniž by je úplně zamrazili. Místo toho vydává speciální token rsETH, který lze použít v jiných aplikacích — například k získání úvěru nebo k obchodování. Je to podobné tomu, jako kdybyste uložili peníze do banky, ale místo spořitelni knížky jste dostali platební kartu, kterou můžete ihned použít k platbám.
Protokol funguje prostřednictvím tzv. cross-chain mostu — technologie, která umožňuje přesun aktiv mezi různými blockchainy (například z Ethereum do Arbitrumu). Tento most využívá infrastrukturu LayerZero, která je považována za jednu z nejbezpečnějších v odvětví.
Jak proběhla útok?
Zloději neprovedli přímý hack kódu Kelp. Namísto toho oklamali systém ověřování mostu. Představte si, že posíláte balík z Moskvy do Petrohradu a kurýrská služba vyžaduje potvrzení doručení. Hackeři toto potvrzení padělali — a systém automaticky vydal zboží, i když balík vůbec nebyl odeslán.
Konkrétně: donutili most uvěřit, že někdo „spálil“ tokeny rsETH v síti Arbitrum (tento krok obvykle odemkne skutečné rsETH v Ethereum). Ve skutečnosti však žádné spalování neproběhlo. V důsledku toho zmizelo z rezerv Kelp 116 500 rsETH — za 292 milionů dolarů.
Zajímavé je, že před útokem získali hackeři počáteční kapitál prostřednictvím služby Tornado Cash — nástroje pro anonymizaci transakcí. To jim umožnilo zaplatit poplatky za transakce (gas) a spustit složitou řadu operací.
Ukradené prostředky se staly zárukou pro nové dluhy
Nejznepokojující je, že hackeři nejen ukradli prostředky, ale ihned je využili jako zálohu na populárních půjčovních platformách:
- Aave V3 — vzali si úvěr přibližně za 120 milionů dolarů v ETH;
- Compound V3 a Euler — získali dalších cca 116 milionů dolarů;
- Celková vypůjčená částka překročila 236 milionů dolarů.
Tyto platformy netušily, že záloha byla ukradena: orákuly (speciální služby hodnotící cenu aktiv) potvrdily hodnotu rsETH a chytré kontrakty provedly standardní logiku. Nyní Aave, Compound a další hrozí ztráta stovek milionů dolarů, pokud hackeři dluhy nezaplatí — a žádný důvod k tomu nemají.
Reakce ekosystému
46 minut po útoku tým Kelp zamrazil klíčové kontrakty a zabránil výběru dalších 100 milionů dolarů. Důsledky se však již rozšířily:
- Aave pozastavila veškeré operace s rsETH;
- SparkLend a Fluid také pozastavily podporu tohoto tokenu;
- Lido Finance dočasně uzavřela svůj vault earnETH (přestože její hlavní tokeny stETH a wstETH nebyly dotčeny);
- Ethena po šest hodin pozastavila mosty LayerZero.
Trh reagoval okamžitě: cena AAVE klesla o 18 %, ETH o 2 % a stETH krátkodobě o 4 %.
Co je důležité
- Útok nezasáhl zranitelnost kódu, ale logiku meziblokchainové komunikace — to je nová úroveň hrozby pro DeFi.
- Ukradená aktiva byla využita k vytvoření dluhových pozic, což vytváří systémové riziko pro půjčovní protokoly.
- LayerZero, ačkoliv má dobré jméno, se ukázala zranitelná vůči manipulacím s potvrzovacími zprávami.
- Kelp zabránil druhé vlně útoku, ale zatím neoznámil žádné kompenzace.
- rsETH stále koluje, ale důvěra k němu je vážně podkopaná.
Co to znamená pro běžné lidi?
Pokud držíte kryptoměny v peněžence — vaše aktiva jsou v bezpečí. Pokud však využíváte DeFi aplikace (berete si úvěry, stakeujete, obchodujete prostřednictvím protokolů), takové události mohou ovlivnit hodnotu vašich aktiv nebo dostupnost služeb. Například úrokové sazby mohou stoupat a některé tokeny se mohou dočasně znehodnotit. Hlavní ponaučení: i „ověřené“ protokoly závisí na složitých vazbách a jediný bod selhání může vyvolat řetězovou reakci.
— Editorial Team