Największy skok na DeFi w 2026 roku – hakerzy z łatwością wykorzystali lukę w systemie Aave

Autor: Xiao Bing, Shenchao TechFlow

Wieczorem 18 kwietnia o godz. 17:35 (UTC) portfel, który prał pieniądze za pośrednictwem Tornado Cash, wysłał komunikat międzyłańcuchowy do kontraktu LayerZero EndpointV2.

Treść wiadomości była prosta: użytkownik z pewnego łańcucha chciał przelać rsETH z powrotem do sieci głównej Ethereum. LayerZero wiernie zrealizowało polecenie zgodnie z założeniami protokołu. Kontrakt pomostowy wdrożony przez Kelp DAO w sieci głównej również zrealizował wypłatę zgodnie z założeniami.

W ramach jednej transakcji przekazano 116 500 rsETH, których wartość wynosiła wówczas około 292 milionów dolarów, na adres kontrolowany przez atakującego.

Problem polega na tym, że nikt w tej sieci nigdy nie wpłacił tego rsETH. To „żądanie międzyłańcuchowe” zostało wymyślone z niczego; firma LayerZero w to uwierzyła, a most Kelp również.

Czterdzieści sześć minut później awaryjny mechanizm wielopodpisowy Kelpa w końcu wstrzymał działanie systemu. W tym momencie atakujący zdążył już zrealizować drugą część swojego planu, wykorzystując skradzione, praktycznie nieobciążone zabezpieczeniem rsETH jako zabezpieczenie w Aave V3 i pożyczając wETH o wartości około 236 milionów dolarów.

To jak dotąd największa kradzież w sektorze DeFi w 2026 roku, przewyższająca o kilka milionów dolarów stratę protokołu Drift, który 1 kwietnia padł ofiarą ataku północnokoreańskich hakerów, ale to, co naprawdę mrozi krew w żyłach przedstawicieli branży, to nie tylko sama kwota.

Jak doszło do ataku: Trzy zakłady w godzinach 17:35–18:28

Przywróćmy oś czasu.

17:35 UTC – pierwsze sukcesy. Atakujący wywołał funkcję lzReceive w kontrakcie LayerZero EndpointV2, a portfel zasilany przez Tornado Cash wysłał sfałszowany międzyłańcuchowy pakiet danych do kontraktu pomostowego Kelp. Weryfikacja kontraktu zakończyła się powodzeniem, a na adres atakującego przekazano 116 500 rsETH. Pojedyncza transakcja. Czysto.

O godz. 18:21 UTC awaryjna blokada wielopodpisowa Kelp spowodowała zamrożenie podstawowych kontraktów rsETH w sieci głównej oraz w wielu sieciach L2. 46 minut po tym, jak doszło do ataku.

O godz. 18:26 i 18:28 czasu UTC napastnik podjął dwie kolejne próby, za każdym razem próbując wypłacić 40 000 rsETH (około 10 milionów dolarów) za pomocą pakietu danych LayerZero. Obie transakcje zostały cofnięte; kontrakt został już zamrożony, ale sprawca najwyraźniej nadal próbował wyprowadzić pozostałą płynność.

Od pierwszego sukcesu do publicznego oświadczenia Kelpa minęły prawie trzy godziny.

Pierwszy wpis Kelpa na X pojawił się dopiero o godz. 20:10 czasu UTC, a jego treść była bardzo powściągliwa: wykryto podejrzaną aktywność międzyłańcuchową związaną z rsETH, wstrzymano działanie kontraktów rsETH w sieci głównej oraz na wielu sieciach L2, a także nawiązano współpracę z LayerZero, Unichain, audytorami i zewnętrznymi ekspertami ds. bezpieczeństwa w celu ustalenia przyczyny źródłowej.

Jednak jeszcze przed opublikowaniem oficjalnego oświadczenia ZachXBT, analityk zajmujący się analizą danych łańcucha bloków, podniósł alarm na swoim kanale Telegram przed godziną 15:00 czasu wschodnioamerykańskiego, podając sześć adresów portfeli powiązanych z kradzieżą i wskazując, że portfel wykorzystany do ataku zgromadził środki za pośrednictwem serwisu Tornado Cash przed rozpoczęciem działania. Nie wymienił nazwy Kelp DAO, ale analitycy zajmujący się danymi z łańcucha bloków zidentyfikowali te adresy w ciągu zaledwie kilku godzin.

Była to **zaplanowana operacja przeprowadzona