Hakerzy skradli 292 mln USD z protokołu Kelp: jak to wpłynęło na rynek i co dalej
W sobotę, 18 kwietnia 2026 roku, nieznani sprawcy wycofali niemal 300 mln USD z jednego z największych protokołów kryptowalutowych — Kelp. To nie tylko kolejna liczba w raporcie: setki tysięcy użytkowników mogły stracić dostęp do środków, a zdecentralizowane platformy pożyczkowe znalazły się w zagrożeniu masowych niewypłat. Takie zdarzenia pokazują, jak kruchą może być nawet „bezpieczna” część infrastruktury kryptowalutowej.
Czym jest Kelp i dlaczego to ważne?
Kelp to protokół płynnego restakingu, który pozwala użytkownikom zarabiać odsetki na swoich tokenach ETH, nie blokując ich całkowicie. Zamiast tego generuje specjalny token rsETH, który można wykorzystywać w innych aplikacjach — na przykład jako zabezpieczenie pożyczki lub do handlu. To podobne do sytuacji, gdy wpłacasz pieniądze do banku, ale zamiast księgiczki oszczędnościowej otrzymujesz kartę płatniczą, którą możesz od razu używać do zakupów.
Protokół działa za pośrednictwem tzw. mostu cross-chain — technologii umożliwiającej przenoszenie aktywów między różnymi blockchainami (np. z Ethereum do Arbitrum). Ten most wykorzystuje infrastrukturę LayerZero, uznawaną za jedną z najbezpieczniejszych w branży.
Jak przebiegła ataka?
Złośliwi aktorzy nie złamali kodu źródłowego Kelp. Zamiast tego oszukali system weryfikacji mostu. Wyobraź sobie, że wysyłasz przesyłkę z Moskwy do Petersburga, a firma kurierska wymaga potwierdzenia odbioru. Hakerzy sfałszowali to potwierdzenie — a system automatycznie przekazał im towar, choć przesyłka w ogóle nie została wysłana.
Konkretnie: zmusili most do uwierzenia, że ktoś „spalił” tokeny rsETH w sieci Arbitrum (ten krok zwykle odblokowuje rzeczywiste tokeny rsETH w Ethereum). W rzeczywistości jednak spalanie nie miało miejsca. W rezultacie z rezerw Kelp usunięto 116 500 rsETH — o wartości 292 mln USD.
Ciekawe, że przed ataką hakerzy uzyskali początkowy kapitał za pośrednictwem Tornado Cash — usługi anonimizującej transakcje. Dzięki temu mogli zapłacić opłatę za gas i uruchomić złożony łańcuch operacji.
Ukradzione środki stały się zabezpieczeniem nowych zobowiązań
Najbardziej niepokojące jest to, że hakerzy nie po prostu ukryli skradzione środki. Natychmiast wykorzystali tokeny rsETH jako zabezpieczenie na popularnych platformach pożyczkowych:
- Aave V3 — pożyczyli około 120 mln USD w ETH;
- Compound V3 i Euler — pożyczyli kolejne ok. 116 mln USD;
- Łączna wartość pożądanych środków przekroczyła 236 mln USD.
Te platformy nie wiedziały, że zabezpieczenie zostało skradzione: orakule (specjalne usługi szacujące wartość aktywów) potwierdziły wartość rsETH, a inteligentne kontrakty wykonały standardową logikę. Teraz Aave, Compound i inne platformy ryzykują utratę setek milionów USD, jeśli hakerzy nie spłacą długu — a powodów do tego nie mają.
Reakcja ekosystemu
46 minut po ataku zespół Kelp zamroził kluczowe kontrakty, uniemożliwiając dalsze wycofanie kolejnych 100 mln USD. Skutki jednak już się rozprzestrzeniły:
- Aave zawiesiła wszystkie operacje z rsETH;
- SparkLend i Fluid również wyłączyły obsługę tego tokenu;
- Lido Finance tymczasowo zamknęła swój vault earnETH (choć jej główne tokeny stETH i wstETH nie zostały dotknięte);
- Ethena przez sześć godzin wyłączyła mosty LayerZero.
Rynek zareagował natychmiastowo: cena AAVE spadła o 18%, ETH o 2%, a stETH krótkotrwałe stracił 4% wartości.
Co jest ważne
- Ataka nie była skierowana przeciwko luce w kodzie, lecz przeciwko logice interakcji między sieciami — to nowy poziom zagrożenia dla DeFi.
- Ukradzione aktywa zostały wykorzystane do tworzenia pozycji dłużnych, co generuje ryzyko systemowe dla protokołów pożyczkowych.
- LayerZero, mimo renomy, okazała się podatna na manipulacje z potwierdzającymi wiadomościami.
- Kelp zapobiegł drugiej fali ataku, ale dotąd nie ogłosił żadnych rekompensat.
- rsETH nadal znajduje się w obiegu, ale zaufanie do niego zostało poważnie podkopane.
Co to oznacza dla zwykłych ludzi?
Jeśli trzymasz kryptowaluty w portfelu — Twoje aktywa są bezpieczne. Ale jeśli korzystasz z aplikacji DeFi (pożyczasz, stake’ujesz lub handlujesz przez protokoły), takie zdarzenia mogą wpłynąć na wartość Twoich aktywów lub dostępność usług. Na przykład stawki procentowe z pożyczek mogą wzrosnąć, a niektóre tokeny mogą tymczasowo stracić wartość. Główne przesłanie: nawet „sprawdzone” protokoły zależą od złożonych powiązań, a jedna awaria może wywołać reakcję łańcuchową.
— Editorial Team